Wer eine eigene Webseite betreiben will, der greift oftmals zu Wordpress. Immerhin ist das "Content Management System" nicht nur einfach zu nutzen, es gibt auch zahlreiche Plugins, die eine Anpassung für alle möglichen Zwecke erlauben. Gerade diese Plugins waren aber in den vergangenen Jahren aber auch immer wieder ein Ansatzpunkt für Angreifer, vor allem wenn sie schlecht gewartet werden. Ein aktueller Vorfall erreicht in dieser Hinsicht aber noch einmal eine andere Qualität.

Backdoor

Sicherheitsforscher haben eine gezielt platzierte Hintertür in einem Plugin namens "School Management Pro" gefunden. Das kostenpflichtige Plugin richtet sich gezielt an Schulen, und verspricht diesen bei Betrieb und Management des eigenen Webauftritts zu helfen.

Vermuteten die Forscher zunächst, dass es sich um eine modifizierte Version aus inoffiziellen Quellen handelt, erwies sich das rasch als Fehleinschätzung, wie Bleeping Computer berichtet. Fand sich die Hintertür doch auch in der offiziellen Version, die über die Webseite des Entwicklers angeboten wurde. Dabei handelt es sich um die indische Firma Weblizar.

Betroffene?

Dieser wirbt damit, dass "School Management Pro" mehr als 340.000 Nutzer hat, dabei rechnet man aber die kostenlose Version ein. Insofern ist unklar, wie hoch die Zahl der Betroffenen tatsächlich ist, immerhin findet sich das Backdoor nur in der Bezahlversion.

Der Hersteller betont gegenüber den Sicherheitsforschern, dass man keine Ahnung habe, wie die Hintertür in den eigenen Code gekommen ist. Weniger Zweifel gibt es daran, dass es sich dabei tatsächlich um ein gezieltes Backdoor handelt. Das Plugin enthält verschleierten Code, der jedem, der davon weiß, gezielt das Einschmuggeln und die Ausführung beliebiger Programme ermöglicht.

Spurensuche

Eingeführt wurde die Hintertür spätestens mit der Version 8.9, die vergangenen August veröffentlicht wurde. Allerdings könne man nicht ganz ausschließen, dass es schon früher vorhanden war, betonen die Forscher. Die Lücke wird als CVE-2022-1609 geführt, und hat es dabei geschafft die höchstmögliche Warnstufe zu erreichen: Der Schweregrad wird mit 10 von 10 möglichen Punkten geführt.

Update

Aber es gibt auch eine gute Nachricht: Die Entwickler haben mittlerweile eine neue Version von "School Management Pro" veröffentlicht, die kein Backdoor mehr enthält. Ab Version 9.9.7 sollte sich das Problem also nicht mehr stellen. Freilich garantiert das nicht, dass die Lücke nicht schon zuvor ausgenutzt wurde. Wer also das Plugin verwendet hat, sollte unbedingt die eigenen Server auf eine etwaige Infektion mit Schadsoftware überprüfen.

Zudem stellt sich natürlich die Frage, ob es angesichts der recht knappen Reaktion des Herstellers eine gute Idee ist, eine solche Software weiterzuverwenden. (apo, 21.5.2022)