WordPress Elementor Remote Code Execution Vulnerability „Elementor Pro Hack“

Elementor Nutzer aufgepasst, aktuell wird eine schwerwiegende Sicherheitslücke im Elementor Pagebuilder ausgenutzt um WordPress Websites mit bösartigen Schadcode zu infizieren. Aktuell hatte ich einen Fall bei dem dieser aktuelle Exploit ausgenutzt wurde um Remote Code auf der Seite auszuführen.

Ein Blick in die Logs des betroffenen hat gezeigt, dass im Plugins- Ordner eine Fake „elementor-pro“ Plugin File erstellt wurde. Über diese wurden anschließend weitere Backdoors implementiert, die Seite selbst lieferte anschließend Spam-Werbungen aus. Ausgenutzt wird dabei auch eine bekannte Logik die Werbung nur an Besucher ausgibt die z.B. über Google auf die Seite kommen. Das verhindert, dass der Seitenbetreiber selbst schnell auf den Hack aufmerksam wird. Die Art der eingespeisten Schadcodes können natürlich variieren.

Betroffene sollten also nur die PHP Datei aus dem Fake Ordner unter wp-contents/plugins/elementor-pro entfernen sondern auch andere PHP Files im WordPress Ordner kontrollieren.

Klassisch betroffene Files könnten dabei sein:

• php Dateien auch in unscheinbaren Unterordnern
• wp-blog-header.php
• Plugins die einen Ordner unter /wp-content/plugins haben aber nicht in der Plugin-Liste in WordPress auftauchen

Die Sicherheitslücke im Detail

Ausgenutzt wird laut offiziellen Angaben ein Fehler im „Onboarding“-Wizard. Über diesen war es normalen Nutzern möglich Plugins hochzuladen. In der Version 3.6.0 wurde das neue Onboarding Modul eingespielt, betroffen sind also aktuell alle Versionen von 3.6.0 bis 3.6.4. Ein Update sollte sofort ausgeführt werden.

WordFence hat die folgende Meldung diesbezüglich abgesetzt: