Sicherheitsnotiz – Kritische Sicherheitslücke im WordPress Downloadmanager

Seit Anfang Dezember ist eine kritische Sicherheitslücke im beliebten WordPress-Plugin Download Magager bekannt, die es sogar Script-Kiddies erlaubt ungepatchte Server zu kapern.

Ein offen im Internet verfügbares Script nutzt diese Lücke aus, um einen zusätzlichen Administratoraccount anzulegen. Wenn man zusätzlich Shell-Skripte bedienen kann, ist es sogar möglich, ungepatchte Server zu bedienen.

Von der Sicherheitslücke sind die Version 2.7.5 und älter vom Plugin Download Manage. Nutzt man eine dieser Versionen, sollte man schleunigst auf die aktuelle Version 2.7.81 updaten. Bei Updates vor der 2.6er Version gibt es allerdings einiges zu beachten. Mehr dazu auf dem Link am Ende des Artikels.

Links

Download Manager Update auf 2.6 – Hürden

Sicherheitsnotiz(en) – von Trojanern, gefährlichen Download Managern und Java-Sicherheitslücken

Das Bundesamt für Sicherheit in der Informationstechnik hat eine Warnung vor einem neuen Trojaner herausgegeben. Dieser wird als Link zu einem angeblichen Video weiterverbreitet. Das geschieht per E-Mail und über soziale Netzwerke, hauptsächlich Facebook. Beim Öffnen des Links wird man nicht zum versprochenen Video geführt, sondern zu einer Website weitergeleitet, wo man aufgefordert wird ein kostenloses AddOn für seinen Browser zu installieren. Dieses AddOn für den Internetbrowser ist der genannte Schädling, der im Browser und im Betriebssystem eine Sicherheitslücke auf, über die Man-in-the-Middle Attacken auf bestehende Internetverbindungen geführt werden können. Daher sollte das AddOn auf keinen Fall installiert werden. Bisher ist nur der Browser Chrome betroffen, Mozilla Firefox könnte demnächst folgen.

Der beliebte Download-Manager Orbit-Downloader fährt seit einiger Zeit DDoS Attacken auf verschiedene Server im Internet. Nach dem ersten Start zieht das Tool ein Angriffsmodul vom Herstellerserver naach, welches auf Zuruf Salven von Netzwerkt-Datenpaketen abschießt. Der SYN-Flood-Angriff ist so intensiv, daß er das eigene Netzwerk gleichzeitig mit lahmlegen kann. Laut dem Virenlabor von ESET wurde der Schadcode um die Jahreswende 2012/2013 in den Downloadmanager integriert. Die Hintergründe dazu sind noch unklar. Mittlerweile häufen sich unbeantwortete Anfragen von betroffenen Nutzern im Supportforum seit Monaten.

Seit kurzem kurisiert ein Exploit, der kritische Schwachstellen in Java 6 ausnutzt. Wer keinen kostenpflichtigen Wartungsvertrag mit Oracle für Java 6 und Securityupdates dazu am Start hat, sollte auf das derzeit aktuellere Java 7 zurückgreifen.