WordPress Elementor Remote Code Execution Vulnerability „Elementor Pro Hack“

Elementor Nutzer aufgepasst, aktuell wird eine schwerwiegende Sicherheitslücke im Elementor Pagebuilder ausgenutzt um WordPress Websites mit bösartigen Schadcode zu infizieren. Aktuell hatte ich einen Fall bei dem dieser aktuelle Exploit ausgenutzt wurde um Remote Code auf der Seite auszuführen.

Ein Blick in die Logs des betroffenen hat gezeigt, dass im Plugins- Ordner eine Fake „elementor-pro“ Plugin File erstellt wurde. Über diese wurden anschließend weitere Backdoors implementiert, die Seite selbst lieferte anschließend Spam-Werbungen aus. Ausgenutzt wird dabei auch eine bekannte Logik die Werbung nur an Besucher ausgibt die z.B. über Google auf die Seite kommen. Das verhindert, dass der Seitenbetreiber selbst schnell auf den Hack aufmerksam wird. Die Art der eingespeisten Schadcodes können natürlich variieren.

Betroffene sollten also nur die PHP Datei aus dem Fake Ordner unter wp-contents/plugins/elementor-pro entfernen sondern auch andere PHP Files im WordPress Ordner kontrollieren.

Klassisch betroffene Files könnten dabei sein:

  • php Dateien auch in unscheinbaren Unterordnern
  • wp-blog-header.php
  • Plugins die einen Ordner unter /wp-content/plugins haben aber nicht in der Plugin-Liste in WordPress auftauchen

Die Sicherheitslücke im Detail

Ausgenutzt wird laut offiziellen Angaben ein Fehler im „Onboarding“-Wizard. Über diesen war es normalen Nutzern möglich Plugins hochzuladen. In der Version 3.6.0 wurde das neue Onboarding Modul eingespielt, betroffen sind also aktuell alle Versionen von 3.6.0 bis 3.6.4. Ein Update sollte sofort ausgeführt werden.

WordFence hat die folgende Meldung diesbezüglich abgesetzt:

Unfortunately no capability checks were used in the vulnerable versions. An attacker could craft a fake malicious “Elementor Pro” plugin zip and use this function to install it. Any code present in the fake plugin would be executed, which could be used to take over the site or access additional resources on the server.

Sollten Sie von diesem Hack betroffen sein und Hilfe brauchen können Sie sich gerne bei mir melden.

Kontakt
Ihre Daten werden ausschließlich zur Bearbeitung Ihrer Anfrage verarbeitet. Mehr Informationen findest du in unserer Datenschutzerklärung

Bürozeiten:
Montag – Freitag: 9 – 19 Uhr
Samstag: 9 – 16 Uhr

Im Notfall auch am Wochenende erreichbar