MalwareSchwachstellenHackerangriffe

Sicherheitsgau bei Smart Slider: Update-System gehackt und mit Backdoors verseucht

Sicherheitsgau bei Smart Slider: Update-System gehackt und mit Backdoors verseucht
Zusammenfassung

Die Update-Infrastruktur des weit verbreiteten Smart Slider 3 Pro-Plugins wurde von Hackern kompromittiert und zur Verbreitung einer manipulierten Version genutzt, die mehrschichtige Backdoors und Spionagefunktionen enthält. Das beliebte WordPress- und Joomla-Plugin wird auf über 900.000 Websites eingesetzt und dient der Erstellung responsiver Slider-Elemente. Die Angreifer verteilten die infizierte Version 3.5.1.35 am 7. April und integrierten ein vollständiges Malware-Toolkit, das die normale Plugin-Funktionalität bewahrt und dadurch schwer zu erkennen ist. Das Arsenal umfasst mehrere Persistenz-Mechanismen: versteckte Admin-Konten, manipulierte Plugins im mu-plugins-Verzeichnis, infizierte Theme-Dateien und fingierte WordPress-Kern-Klassen. Für deutsche Website-Betreiber und Unternehmen bedeutet dies ein kritisches Sicherheitsrisiko, da befallene Seiten vollständig kompromittiert sind und Angreifer unautentifizierten Fernzugriff erhalten können. Betroffene Nutzer sollten sofort auf Version 3.5.1.36 aktualisieren oder zu einer älteren, unverseuchten Version zurückkehren. Sicherheitsexperten empfehlen eine umfassende Bereinigung, einschließlich vollständiger Passwortzurücksetzer und einer Rückkehr zu Backups vom 5. April oder früher.

Die Sicherheitsfirma PatchStack hat eine detaillierte Analyse der Malware durchgeführt und zeigt ein erschreckendes Bild: Der schädliche Code ist als vollwertiges Multi-Layer-Toolkit in die Hauptdatei des Plugins eingebettet worden, während die normale Funktionalität von Smart Slider unauffällig weiterlief. Dies machte die Kompromittierung für Nutzer zunächst unsichtbar.

Die Funktionsweise der Malware ist besonders perfide. Sie verfügt über mindestens vier verschiedene Persistenzmechanismen: Erstens erstellt sie ein verstecktes Admin-Konto mit Präfix (bei Joomla meist “wpsvc_”), das im Dashboard nicht sichtbar ist. Zweitens injiziert sie Code in die functions.php der aktiven WordPress-Theme – solange das Theme aktiv ist, bleibt die Backdoor bestehen. Drittens nutzt die Malware sogenannte “Must-Use Plugins” im mu-plugins-Verzeichnis, die automatisch geladen werden und nicht deaktiviert werden können. Das vierte Persistenzmechanismus ist besonders tückisch: Eine PHP-Datei im wp-includes-Verzeichnis, die den Namen einer legitimen WordPress-Klasse trägt und ihre Authentifizierung über eine .cache_key-Datei regelt – unabhängig von Datenbankänderungen.

Die Malware ermöglicht Angreifern, beliebige Befehle via manipulierte HTTP-Header auszuführen, ohne sich authentifizieren zu müssen. Zusätzlich existiert eine zweite, authentifizierte Backdoor mit PHP-eval- und Betriebssystem-Befehlen sowie automatisierter Credential-Diebstahl.

Für WordPress-Administratoren ist sofortige Handlung erforderlich. Die Version 3.5.1.35 muss dringend deinstalliert werden – entweder durch Update auf 3.5.1.36 oder Downgrade auf 3.5.1.34 und älter. Wer ein Backup hat, sollte dieses von vor dem 5. April einspielen, um Zeitzonendifferenzen zu berücksichtigen.

Betreiber betroffener Websites müssen davon ausgehen, dass ihre Systeme vollständig kompromittiert sind. PatchStack empfiehlt ein umfassendes Cleanup: Wartungsmodus aktivieren, alle unautorisierten Admin-Accounts entfernen, alle Komponenten erneut installieren, Passwörter zurücksetzen und das gesamte System auf weitere Malware scannen. Abschließend sollten Zwei-Faktor-Authentifizierung aktiviert, Admin-Zugriff beschränkt und starke, einzigartige Passwörter verwendet werden.

Dieser Vorfall unterstreicht erneut die Risiken von Plugin-Ökosystemen und die kritische Bedeutung regelmäßiger Sicherheitsüberwachung.

Ähnliche Artikel