:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c7/44/c744c3d889e69a29c42da9484283cbb5/0109647488.jpeg "Mit einer Phishing-Mail konnten Unbekannte per Identitätsdiebstahl ein nicht über MFA abgesichertes Postfach übernehmen und so dem Unternehmen 640.000 Euro Schaden verursachen. Jetzt redet KTR Systems offen über den Angriff und die Folgen. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a8/73/a8737847b92d89778e71be656a9ef8a1/0109624916.jpeg "Werden Sicherheitslücken nicht sofort gepatcht, bieten sie Angreifern ein willkommenes Einfallstor (©Skórzewiak – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/de/7bde8c50e3cb7fc4eb3fa1e2b140921c/0109560439.jpeg "Microsoft Defender for Business bietet Schutz gegen Ransomware, Malware, Phishing und Cyberattacken aus der Cloud für KMU. (Bild: peterschreiber.media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/7c/b17cea3fac7d881439ecc2f6114bc898/0109609547.jpeg "Seit Jahresende 2022 ist ChatGTP von OpenAI in aller Munde. Das KI-Chatmodell könnte Suchmaschinen und Berufsfelder ersetzen sowie zeitlastige Verwaltungsarbeiten übernehmen. Cyberkriminelle bleiben aber auch hier nicht fern. (Bild: Shafay - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/75/f6/75f6764b0db6aeedf060f9e7d819391d/0109123605.jpeg "ChatGPT ist der Prototyp eines hoch entwickelten, dialogorientierten KI-Chatbots, der seit Ende November 2022 für die Öffentlichkeit kostenlos zugänglich ist. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/db/33/db33865ce2c2c691675ccc0d60cf1db7/0109557976.jpeg "Hybride Arbeitsmodelle bringen Unternehmen und Mitarbeitern Vorteile, stellen sie aber auch vor Herausforderungen. (Bild: VectorMine-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/05/5505c3a89752c30437a26c730fd0d22d/0109602208.jpeg "Die Sicherheitslücke in VMware ESXi mit der Kennung CVE-2021-21974 ist bereits seit zwei Jahren bekannt und gepatcht. Derzeit werden aber viele ungepatchte Systeme gezielt angegriffen. (Bild: Ar_TH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/ca/b1ca0ff5c4eb99c9e9aa2570fcbdbc8c/0109206975.jpeg "Datenbanken müssen per Backup gesichert werden, so auch IBM Db2. Unser Artikel zeigt, wie’s geht. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/eb/58/eb58ad2b626cfc8d36dfef997e6356d6/0108869219.jpeg "Veracode hat das Münchner Software-Sicherheits-Tool Crashtest Security erworben. (Bild: Veracode)")
:quality(80)/p7i.vogel.de/wcms/ab/b7/abb7d6a78f508ff7a40de9134568e8ee/0109124147.jpeg "Das Metaverse ist die Vision eines grenzenlosen virtuellen Raums und einer damit verbundenen, gemeinsamen Online-Welt. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/bc/56/bc569df2055a071b322e72e49e4acba4/0109626074.jpeg "Bei der Nutzung von digitalen Diensten in Deutschland ist immer noch Luft nach oben, insbesondere im Vergleich zum Rest der EU. Nutzer entscheiden sich aufgrund von Bedenken, oder Unwissenheit, oft für analoge Prozesse, wo digitale Verfahren schon längst zur Verfügung ständen. (Bild: Tierney - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/af/f6af498e03304233f4dffd7f90d3b445/0109560034.jpeg "Ob On-Premise oder Managed PKI – beide haben ihre Existenzberechtigung. Gerade im Mittelstand bieten Managed PKI Angebote die Chance, Einstiegshürden erheblich zu senken und die Sicherheit im Unternehmen deutlich zu verbessern. (Bild: Andrey - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/14/28/1428cc44321fe19c1069f5e122ca8768/0109150628.jpeg "MailStore hat Version 22.4 seiner E-Mail-Archivierungslösungen vorgestellt. (Bild: MailStore)")
:quality(80)/p7i.vogel.de/wcms/6e/aa/6eaa0b33e06dfe368da48ef3058d5366/0109123449.jpeg "NIS2 ersetzt die 2016 festgelegte NIS-Richtlinie der Europäischen Union und legt neue EU-Mindeststandards für die Cybersicherheit kritischer Infrastrukturen (KRITIS) fest. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/05/21/052189d358a7d99031003692e0c28bd1/0109624967.jpeg "Die Mathematikerin und derzeitige Generaldirektorin für Informationssysteme der EZB Claudia Plattner soll neue Präsidentin des BSI werden (7. Februar 2023) (© CrazyCloud - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/28/84/2884255aa11600352fde08ebed726c89/0109124125.jpeg "Ein Whaling-Angriff ist ein gezielter Phishing-Angriff gegen Führungskräfte oder hochrangige Mitarbeiter von Unternehmen, Organisationen oder Behörden. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Summer of Pwnage findet Schwachstellen in Erweiterungen und Themes 24 Lücken in populären Wordpress-Plugins
Sicherheitsexperten haben sich populäre Plugins und Themes für Wordpress vorgenommen und diese im Rahmen des Summer of Pwnage auf Schwachstellen abgeklopft. Dabei wurden sie schnell fünding. In 24 Erweiterungen stecken Fehler, einige erlauben sogar den Zugriff auf die Wordpress-Installation.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Die Sicherheitsexperten der Bug-Suche „Summer of Pwnage“ haben sich Wordpress, dessen populäre Plugins und Themes vorgenommen. Wie immer wenn diese Experten auf Systeme losgehen, ist das Ergebnis ernüchtern. Insgesamt 24 Schwachstellen wurden gefunden, betroffen sind Themes und populäre Plugins.
Übersicht über Schwachstellen
Ein Großteil der Schwachstellen entstehen durch Cross-Site-Scripting-Lücken. Darüber können die Angreifer auf die internen Funktionen des Plugins oder Themes zugreifen. Um Ihnen einen schnelleren Überblick zu geben, haben wir alle Schwachstellen in einer Tabelle zusammengestellt:
| Betroffen | Sicherheitslücke | Auswirkung | Link |
|---|---|---|---|
| Contact Form Manager - Plugin | CSRF / CSS | Ändern von Einstellungen | Details |
| User Login Log - Plugin | CSS | Zugriff auf Daten | Details |
| Adminer - Plugin | Datenbankzugriff | Zugriff auf Wordpress-Datenbank | Details |
| VaultPress - Plugin | Man in the Middle | Ausführen von Code | Details |
| Alpine PhotoTile - Plugin | CSS | Zugriff auf Daten | Details |
| Charitas Lite - Theme | CSS | Zugriff auf Daten | Details |
| Google Analytics Dashboard - Plugin | CSS | Zugriff auf Daten | Details |
| Popup by Supsystic - Plugin | CSRF | Zugriff auf Daten | Details |
| Formbuilder - Plugin | CSS | Zugriff auf Daten | Details |
| Atahualpa - Theme | CSS | Zugriff auf Daten | Details |
| Atahualpa - Theme | CSRF | Zugriff auf Daten | Details |
| Wordpress Download Manager - Plugin | CSRF | Zugriff auf Daten | Details |
| WP-SpamFree Anti-Spam - Plugin | CSS | Zugriff auf Daten | Details |
| WP-Filebase Download Manager - Plugin | CSS | Zugriff auf Daten | Details |
| TrustForm - Plugin | CSS | Zugriff auf Daten | Details |
| Admin Custom Login - Plugin | CSS | Zugriff auf Daten | Details |
| Admin Custom Login - Plugin | CSS | Zugriff auf Daten | Details |
| Analytics Stats Counter Statistics - Plugin | PHP Object Injection | Einspeisen von Code | Details |
| nBill Lite - Plugin | PHP Object Injection | Einspeisen von Code | Details |
| Tribulant Slideshow Galleries - Plugin | CSS | Zugriff auf Daten | Details |
| Doctors - Theme | CSS | Zugriff auf Daten | Details |
| Simple Ads Manager - Plugin | PHP Object Injection | Ausführen von Code (unbestätigt) | Details |
| Global Content Blocks - Plugin | CSRF | Ausführen von Code | Details |
| File Manager - Plugin | CSRF | Hochladen von Dateien | Details |
Updates noch nicht verfügbar
Aktuell gibt es noch keine Aktualisierungen für die verschiedenen Schwachstellen. Problematisch ist, dass die Informationen bereits in der Öffentlichkeit sind. Wer eins oder mehrere dieser Plugins oder Themes verwendet, sollte die Zugriffe auf sein Blog genau überprüfen. Sobald die Updates verfügbar sind, sollten sie schnellstmöglich installiert werden. Als nächstes wollen sich die Experten rund um den Summer of Pwnage übrigens das Internet of Things vonehmen. Wenn diese Untersuchung ähnlich ausfällt, dürften einige Hersteller bereits jetzt zittern.
(ID:44550806)
:quality(80)/images.vogel.de/vogelonline/bdb/1958600/1958695/original.jpg "Wir diskutieren, wie KI und automatisierte Tools künftig auch böswillig implementierte Schwachstellen in Office-Programmen aufspüren könnten. (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1862600/1862645/original.jpg "Bei unserem Podcast Nummer 42 sollten Sie unbedingt ein Handtuch mit sich führen. (Vogel IT-Medien)")