Im Mittelpunkt der Warnung des Australian Cyber Security Centre steht eine laufende Kampagne, die weltweit auf Schwachstellen in Content-Management-Systemen und Plugins abzielt. Die Regierungsbehörde berichtet, dass in Australien bereits zahlreiche Unternehmen betroffen sind und auf deren Websites Webshells installiert wurden.
Laut ACSC verschaffen diese Webshells den Angreifern einen persistenten Zugriff auf kompromittierte Seiten. Damit können sie Dienste stören, Zugangsdaten stehlen, weitere Schadsoftware nachladen und sich tiefer in ein Netzwerk vorarbeiten. Die Behörde beschreibt die Aktivität als breit angelegte Ausnutzungswelle, bei der böswillige Akteure Websites systematisch nach verwundbaren Stellen absuchen.
Das ACSC führt aus, dass die Kampagne verschiedene Schwachstellen in CMS-Software und Plugins ausnutzt. Genannt werden dabei WordPress, Craft CMS, MaxSite CMS, MetInfo CMS und Joomla JCE. Welche konkreten Schwachstellen in der Kampagne missbraucht werden, geht aus der Warnung in dem vorliegenden Text nicht hervor, wohl aber die betroffenen Plattformen und die Methode über Webshells.
Bemerkenswert ist auch der Hinweis der Behörde auf mögliche Unterstützung durch Künstliche Intelligenz. Nach Einschätzung des ACSC kann sie Angreifern dabei helfen, ihre Operationen zu beschleunigen und die Ausnutzung neu auftauchender Sicherheitslücken in größerem Maßstab voranzutreiben.
Für Betreiber von Websites empfiehlt das ACSC, die neuesten Sicherheitsupdates für CMS, Themes und Plugins einzuspielen, nicht mehr benötigte Komponenten zu entfernen und automatische Updates zu aktivieren, wo dies möglich ist. Außerdem rät die Behörde dazu, Webverzeichnisse wenn möglich schreibgeschützt zu setzen, die unbefugte Erstellung von Dateien zu überwachen, den Zugriff auf sensible Verzeichnisse einzuschränken und unerwartete gestartete Kindprozesse auf dem Webserver zu blockieren.
Die Warnung macht deutlich, dass nicht nur einzelne Produkte, sondern ein breites CMS-Ökosystem im Fokus steht. Aus Sicht des ACSC suchen die Angreifer aktiv nach Gelegenheiten, verwundbare Websites zu kompromittieren und dort dauerhaften Zugang zu etablieren.
