MalwareSchwachstellenHackerangriffe

Kritischer Backdoor in Smart Slider 3 Pro: Update-System kompromittiert

Kritischer Backdoor in Smart Slider 3 Pro: Update-System kompromittiert
Zusammenfassung

Unbekannte Angreifer haben sich Zugang zu den Update-Servern des beliebten WordPress- und Joomla-Plugins Smart Slider 3 Pro verschafft und eine manipulierte Version mit einer Hintertür verteilt. Das Plugin ist weit verbreitet und wird auf über 800.000 Websites eingesetzt. Die kompromittierte Version 3.5.1.35 wurde zwischen dem 7. April 2026 und ihrer Entdeckung etwa sechs Stunden später über den offiziellen Update-Kanal ausgerollt, bevor sie vom Hersteller Nextend entfernt wurde. Die Malware ermöglicht es Angreifern, rogue Administrator-Konten zu erstellen, versteckte Backdoors einzubauen und Remote-Befehle auszuführen. Dies ist ein klassischer Supply-Chain-Angriff, der traditionelle Sicherheitsmaßnahmen umgeht, da die Malware über den vertrauenswürdigen Update-Kanal installiert wird. Für deutsche Unternehmen und Website-Betreiber, die das Pro-Plugin nutzen, besteht ein erhebliches Risiko: Betroffene Systeme könnten ohne Wissen der Administratoren kompromittiert worden sein. Eine sofortige Aktualisierung auf Version 3.5.1.36 und gründliche Sicherheitsüberprüfungen sind dringend erforderlich, um Datenverluste, unbefugten Zugriff und weitere Schäden zu verhindern.

Die Sicherheitsfirma Patchstack dokumentierte einen der kritischsten WordPress-Plugin-Angriffe der letzten Jahre. Unbefugte Dritte gelangten Zugang zu Nextends Update-System und verteilten eine vollständig manipulierte Version des Smart Slider 3 Pro Plugins. Die betroffene Version 3.5.1.35 enthielt einen mehrstufigen Malware-Payload mit erweiterten Persistenzmechanismen.

Der Backdoor bietet Angreifern Fähigkeiten, die Administratoren-Konten zu erstellen, Remote-Code-Ausführung über HTTP-Header zu ermöglichen und beliebigen PHP-Code über versteckte Request-Parameter auszuführen. Besonders bemerkenswert ist die Sophistikation des Angriffs: Statt eines einfachen Webshells implementierten die Angreifer ein mehrschichtiges Toolkit mit redundanten Zugangspunkten, Verbergungs- und Verschleierungsmechanismen sowie automatischer Command-and-Control-Registrierung mit vollständiger Credential-Exfiltration.

Nextend reagierte schnell auf die Entdeckung. Das Unternehmen schaltete die Update-Server ab, entfernte die manipulierte Version und kündigte eine umfassende Sicherheitsuntersuchung an. Allerdings: Die kostenlose Version des Plugins blieb unberührt. Betroffen sind ausschließlich Pro-Nutzer.

Für betroffene Website-Betreiber empfehlen Experten ein Sicherheits-Update auf Version 3.5.1.36 sowie gründliche Überprüfungen des Systems. Dazu gehört die Kontrolle auf rogue Administrator-Accounts, verdächtige Dateimodifikationen und ungewöhnliche Netzwerk-Verbindungen.

Patchstack warnt vor der grundsätzlichen Gefahr solcher Supply-Chain-Angriffe: “Dies ist ein Lehrbuchbeispiel für eine Versorgungsketten-Kompromittierung, bei der traditionelle Perimeter-Defenses irrelevant werden.” Firewall-Regeln, Nonce-Verifikation und rollenbasierte Zugriffskontrolle schützen nicht, wenn der bösartige Code über den vertrauenswürdigen Update-Kanal kommt. Das Plugin wird zur Malware selbst.

Der Vorfall unterstreicht für deutsche Unternehmen die Notwendigkeit, Plugin- und Software-Updates genau zu überwachen, regelmäßige Sicherheitsaudits durchzuführen und bewährte Web-Anwendungs-Firewalls einzusetzen, die auch verdächtige Administrator-Account-Aktivitäten erkennen können.

Ähnliche Artikel