Liebe Leser,<\/p>\n
IT-Sicherheitsexperten haben eine besonders kritische Sicherheitsl\u00fccke im beliebten Joomla-Erweiterungspaket SP Page Builder entdeckt. Die Schwachstelle wird bereits aktiv von Angreifern ausgenutzt und betrifft nach aktuellem Stand alle Versionen bis einschlie\u00dflich SP Page Builder 6.6.1.<\/p>\n
Besonders alarmierend: Die Sicherheitsl\u00fccke erm\u00f6glicht es Angreifern, ohne Anmeldung und ohne jegliche Berechtigungen Schadcode auf betroffenen Joomla-Webseiten hochzuladen und auszuf\u00fchren. Dadurch k\u00f6nnen sie die vollst\u00e4ndige Kontrolle \u00fcber eine Website \u00fcbernehmen, Daten auslesen, Inhalte manipulieren oder dauerhafte Hintert\u00fcren einrichten.<\/p>\n
Betreiber von Joomla-Webseiten, die SP Page Builder einsetzen, sollten daher umgehend handeln und auf die abgesicherte Version 6.6.2 aktualisieren.<\/p>\n
Die Ursache des Problems liegt in einer Funktion von SP Page Builder, die eigentlich dazu gedacht ist, benutzerdefinierte Symbole hochzuladen.<\/p>\n
Durch einen Programmierfehler wurde jedoch nicht ausreichend \u00fcberpr\u00fcft, welche Dateien hochgeladen werden d\u00fcrfen und ob der Nutzer \u00fcberhaupt berechtigt ist, diese Funktion zu verwenden. Dadurch konnten Angreifer statt harmloser Bilddateien auch PHP-Dateien hochladen.<\/p>\n
PHP-Dateien werden auf dem Webserver ausgef\u00fchrt und erm\u00f6glichen es, Befehle direkt auf dem System auszuf\u00fchren. IT-Sicherheitsexperten sprechen in einem solchen Fall von einer sogenannten Remote Code Execution (RCE) \u2013 einer der gef\u00e4hrlichsten Arten von Sicherheitsl\u00fccken \u00fcberhaupt.<\/p>\n
Besonders kritisch ist dabei, dass f\u00fcr den Angriff keine Anmeldung erforderlich ist. Jede \u00f6ffentlich erreichbare Joomla-Installation mit einer verwundbaren Version von SP Page Builder kann potenziell angegriffen werden.<\/p>\n
Nach erfolgreichen Angriffen beschr\u00e4nken sich die T\u00e4ter nicht darauf, einmalig Zugriff auf die Webseite zu erhalten.<\/p>\n
Stattdessen legen sie dauerhaft neue Benutzerkonten mit Super-Administrator-Rechten an. Diese Konten wirken auf den ersten Blick oft v\u00f6llig unauff\u00e4llig und tragen Namen wie \u201eWeb Editor\u201c, \u201eSite Helper\u201c oder \u201eAdmin Backup\u201c.<\/p>\n
Die dazugeh\u00f6rigen Benutzernamen variieren von Installation zu Installation und werden automatisch generiert. Ein auff\u00e4lliges Merkmal ist jedoch die verwendete E-Mail-Adresse: Nach Angaben der IT-Sicherheitsexperten enden s\u00e4mtliche dieser Konten auf die Domain @secure.local.<\/p>\n
Da diese Domain nicht f\u00fcr legitime Joomla-Benutzerkonten verwendet wird, gilt sie als eindeutiger Hinweis auf eine Kompromittierung. Wer in seiner Benutzerverwaltung einen Super Administrator mit einer E-Mail-Adresse auf \u201e@secure.local\u201c findet, sollte davon ausgehen, dass seine Joomla-Installation bereits erfolgreich angegriffen wurde.<\/p>\n
Zus\u00e4tzlich installieren die Angreifer sogenannte Backdoors. Dabei handelt es sich um versteckte Programme, die ihnen auch dann weiterhin Zugriff auf die Website erm\u00f6glichen, wenn die urspr\u00fcngliche Sicherheitsl\u00fccke bereits geschlossen wurde.<\/p>\n
Nach Angaben der IT-Sicherheitsexperten handelt es sich dabei um einen leistungsf\u00e4higen Dateimanager mit integrierter PHP- und Datenbank-Konsole. Die Schadsoftware wird h\u00e4ufig an verschiedenen Stellen innerhalb der Joomla-Installation abgelegt, um ihre Entdeckung zu erschweren.<\/p>\n
Selbst wenn eine dieser Hintert\u00fcren gefunden und entfernt wird, k\u00f6nnen weitere Kopien weiterhin aktiv sein und den Angreifern den erneuten Zugriff erm\u00f6glichen.<\/p>\n
Aus diesem Grund reicht ein einfaches Update in vielen F\u00e4llen nicht aus, wenn eine Webseite bereits kompromittiert wurde.<\/p>\n
Wer SP Page Builder einsetzt, sollte zun\u00e4chst pr\u00fcfen, welche Version installiert ist. Alle Versionen bis einschlie\u00dflich 6.6.1 gelten als verwundbar und sollten umgehend auf Version 6.6.2 aktualisiert werden.<\/p>\n
Dar\u00fcber hinaus empfiehlt es sich, die Benutzerverwaltung sorgf\u00e4ltig zu kontrollieren. Unbekannte Super-Administratoren, insbesondere mit E-Mail-Adressen auf \u201e@secure.local\u201c, sollten sofort untersucht werden.<\/p>\n
Auch die Dateien der Joomla-Installation sollten auf verd\u00e4chtige PHP-Dateien oder unbekannte Verzeichnisse \u00fcberpr\u00fcft werden. Da die Angreifer ihre Backdoors h\u00e4ufig an unterschiedlichen Stellen ablegen, ist hierf\u00fcr oft eine tiefergehende Analyse erforderlich.<\/p>\n
Da die Sicherheitsl\u00fccke bereits aktiv ausgenutzt wird, besteht nicht nur ein theoretisches Risiko. IT-Sicherheitsexperten haben bereits zahlreiche kompromittierte Joomla-Webseiten entdeckt, auf denen die beschriebenen Administrator-Konten und Backdoors eingerichtet wurden.<\/p>\n
Je l\u00e4nger eine verwundbare Installation ungepatcht bleibt, desto h\u00f6her ist die Wahrscheinlichkeit, dass Angreifer die Schwachstelle ebenfalls ausnutzen.<\/p>\n
Ein zeitnahes Update auf die abgesicherte Version 6.6.2 ist daher dringend zu empfehlen.<\/p>\n