Zum Hauptinhalt springen
DM Solutions Blog

Kritische Sicherheitslücke in SP Page Builder: Angreifer erstellen heimlich Joomla-Administratoren

| Sarah Niederbühl | | Keine Kommentare zu Kritische Sicherheitslücke in SP Page Builder: Angreifer erstellen heimlich Joomla-Administratoren

Liebe Leser,

IT-Sicherheitsexperten haben eine besonders kritische Sicherheitslücke im beliebten Joomla-Erweiterungspaket SP Page Builder entdeckt. Die Schwachstelle wird bereits aktiv von Angreifern ausgenutzt und betrifft nach aktuellem Stand alle Versionen bis einschließlich SP Page Builder 6.6.1.

Besonders alarmierend: Die Sicherheitslücke ermöglicht es Angreifern, ohne Anmeldung und ohne jegliche Berechtigungen Schadcode auf betroffenen Joomla-Webseiten hochzuladen und auszuführen. Dadurch können sie die vollständige Kontrolle über eine Website übernehmen, Daten auslesen, Inhalte manipulieren oder dauerhafte Hintertüren einrichten.

Betreiber von Joomla-Webseiten, die SP Page Builder einsetzen, sollten daher umgehend handeln und auf die abgesicherte Version 6.6.2 aktualisieren.

Was ist passiert?

Die Ursache des Problems liegt in einer Funktion von SP Page Builder, die eigentlich dazu gedacht ist, benutzerdefinierte Symbole hochzuladen.

Durch einen Programmierfehler wurde jedoch nicht ausreichend überprüft, welche Dateien hochgeladen werden dürfen und ob der Nutzer überhaupt berechtigt ist, diese Funktion zu verwenden. Dadurch konnten Angreifer statt harmloser Bilddateien auch PHP-Dateien hochladen.

PHP-Dateien werden auf dem Webserver ausgeführt und ermöglichen es, Befehle direkt auf dem System auszuführen. IT-Sicherheitsexperten sprechen in einem solchen Fall von einer sogenannten Remote Code Execution (RCE) – einer der gefährlichsten Arten von Sicherheitslücken überhaupt.

Besonders kritisch ist dabei, dass für den Angriff keine Anmeldung erforderlich ist. Jede öffentlich erreichbare Joomla-Installation mit einer verwundbaren Version von SP Page Builder kann potenziell angegriffen werden.

Angreifer richten versteckte Administratoren ein

Nach erfolgreichen Angriffen beschränken sich die Täter nicht darauf, einmalig Zugriff auf die Webseite zu erhalten.

Stattdessen legen sie dauerhaft neue Benutzerkonten mit Super-Administrator-Rechten an. Diese Konten wirken auf den ersten Blick oft völlig unauffällig und tragen Namen wie „Web Editor“, „Site Helper“ oder „Admin Backup“.

Die dazugehörigen Benutzernamen variieren von Installation zu Installation und werden automatisch generiert. Ein auffälliges Merkmal ist jedoch die verwendete E-Mail-Adresse: Nach Angaben der IT-Sicherheitsexperten enden sämtliche dieser Konten auf die Domain @secure.local.

Da diese Domain nicht für legitime Joomla-Benutzerkonten verwendet wird, gilt sie als eindeutiger Hinweis auf eine Kompromittierung. Wer in seiner Benutzerverwaltung einen Super Administrator mit einer E-Mail-Adresse auf „@secure.local“ findet, sollte davon ausgehen, dass seine Joomla-Installation bereits erfolgreich angegriffen wurde.

Hintertüren sorgen für dauerhaften Zugriff

Zusätzlich installieren die Angreifer sogenannte Backdoors. Dabei handelt es sich um versteckte Programme, die ihnen auch dann weiterhin Zugriff auf die Website ermöglichen, wenn die ursprüngliche Sicherheitslücke bereits geschlossen wurde.

Nach Angaben der IT-Sicherheitsexperten handelt es sich dabei um einen leistungsfähigen Dateimanager mit integrierter PHP- und Datenbank-Konsole. Die Schadsoftware wird häufig an verschiedenen Stellen innerhalb der Joomla-Installation abgelegt, um ihre Entdeckung zu erschweren.

Selbst wenn eine dieser Hintertüren gefunden und entfernt wird, können weitere Kopien weiterhin aktiv sein und den Angreifern den erneuten Zugriff ermöglichen.

Aus diesem Grund reicht ein einfaches Update in vielen Fällen nicht aus, wenn eine Webseite bereits kompromittiert wurde.

So können Joomla-Betreiber prüfen, ob sie betroffen sind

Wer SP Page Builder einsetzt, sollte zunächst prüfen, welche Version installiert ist. Alle Versionen bis einschließlich 6.6.1 gelten als verwundbar und sollten umgehend auf Version 6.6.2 aktualisiert werden.

Darüber hinaus empfiehlt es sich, die Benutzerverwaltung sorgfältig zu kontrollieren. Unbekannte Super-Administratoren, insbesondere mit E-Mail-Adressen auf „@secure.local“, sollten sofort untersucht werden.

Auch die Dateien der Joomla-Installation sollten auf verdächtige PHP-Dateien oder unbekannte Verzeichnisse überprüft werden. Da die Angreifer ihre Backdoors häufig an unterschiedlichen Stellen ablegen, ist hierfür oft eine tiefergehende Analyse erforderlich.

Warum schnelles Handeln jetzt besonders wichtig ist

Da die Sicherheitslücke bereits aktiv ausgenutzt wird, besteht nicht nur ein theoretisches Risiko. IT-Sicherheitsexperten haben bereits zahlreiche kompromittierte Joomla-Webseiten entdeckt, auf denen die beschriebenen Administrator-Konten und Backdoors eingerichtet wurden.

Je länger eine verwundbare Installation ungepatcht bleibt, desto höher ist die Wahrscheinlichkeit, dass Angreifer die Schwachstelle ebenfalls ausnutzen.

Ein zeitnahes Update auf die abgesicherte Version 6.6.2 ist daher dringend zu empfehlen.

Unser Service: Updates und Sicherheitsprüfung für betroffene Joomla-Webseiten

Für alle Kunden, die unseren Joomla Update Service nutzen, installieren wir das bereitgestellte Sicherheitsupdate für SP Page Builder selbstverständlich zeitnah. Dadurch wird die Sicherheitslücke geschlossen, über die Angreifer bislang Schadcode hochladen, versteckte Backdoors installieren und unberechtigte Administrator-Zugänge anlegen konnten.

Allen anderen Kunden empfehlen wir dringend, entweder unseren Joomla Update Service zu buchen oder das Update schnellstmöglich selbst durchzuführen. Da die Schwachstelle bereits aktiv ausgenutzt wird, sollte hier keine Zeit verloren werden.

Sollte der Verdacht bestehen, dass eine Joomla-Installation bereits kompromittiert wurde, unterstützen wir selbstverständlich auch bei der Untersuchung und Bereinigung der betroffenen Umgebung. Dabei prüfen wir gezielt, ob unberechtigte Super-Administratoren mit E-Mail-Adressen auf @secure.local angelegt wurden, ob versteckte Backdoors oder verdächtige PHP-Dateien vorhanden sind und ob weitere Spuren eines erfolgreichen Angriffs erkennbar sind.

Unser Support steht Ihnen bei Fragen rund um diese Sicherheitslücke jederzeit gerne zur Verfügung und unterstützt Sie dabei, Ihre Joomla-Webseite wieder in einen sicheren Zustand zu versetzen. Gerade bei aktiv ausgenutzten Schwachstellen wie dieser ist schnelles Handeln entscheidend, um dauerhafte Schäden und unbefugte Zugriffe zu verhindern.

Teile diesen Beitrag

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

 

Wir bieten Ihnen:

Unsere Autoren

Kategorien

Schlagwörter

aktion CMS Hosting CMS WordPress Contao CMS Contao installieren Content Management System DM Solutions Drupal 7 Drupal CMS Drupal Sicherheit Joomla Joomla 2.5 Joomla CMS Joomla Security Joomla Sicherheit Joomla Sicherheitslücke kostenlose Domain Lernplattform Moodle Magento CE Moodle Installation Moodle Sicherheitslücken neue Domainendung Online-Shop Onlineshop erstellen OTRS OTRS 4 OTRS 5 OTRS 6 OTRS Help Desk OTRS Sicherheitslücke OTRS Ticketsystem Piwik Update Services Shop Software Shopware Shopware Sicherheitsupdate TYPO3 CMS TYPO3 Installation Update webhosting kostenlos Website Analyse Website Analyse Tool WordPress WordPress Sicherheitslücke WordPress Website

DoFollow ab 3 Kommentaren

Ihre Kommentare werden von uns ab dem dritten Kommentar auf DoFollow umgestellt.