Eine aktuelle Kampagne gegen WordPress‑Sites nutzt kritische Fehler in den Plugins GutenKit und Hunk Companion, um vollständige Übernahmen zu ermöglichen. Laut Wordfence wurden in 48 Stunden 8,7 Mio. Angriffsversuche abgewehrt – ein klarer Hinweis auf automatisierte, breit angelegte Ausnutzung.
Kritische CVEs, betroffene Versionen und Schweregrad
Im Fokus stehen drei Schwachstellen mit CVSS 9,8: CVE‑2024‑9234, CVE‑2024‑9707 und CVE‑2024‑11972. Alle erlauben Remote Code Execution (RCE) über fehlerhafte Autorisierungsprüfungen in der WordPress‑REST API.
GutenKit: Unauthentifizierte Plugin‑Installation
CVE‑2024‑9234 betrifft GutenKit (rund 40.000 aktive Installationen). Ein nicht authentifizierter REST‑Endpunkt ermöglicht die Installation beliebiger Plugins ohne Rechteprüfung. Verwundbar sind Versionen ≤ 2.1.0.
Hunk Companion: themehunk-import missbraucht
Bei Hunk Companion (ca. 8.000 Installationen) führen CVE‑2024‑9707 und CVE‑2024‑11972 im Endpunkt themehunk-import ebenfalls zu unautorisierten Plugin‑Installationen. Betroffen sind Versionen ≤ 1.8.4 (CVE‑2024‑9707) und ≤ 1.8.5 (CVE‑2024‑11972).
Modus Operandi: Von REST‑Missbrauch zu Persistenz und Vollzugriff
Nach initialem Zugriff laden Angreifer über GitHub ein ZIP mit dem bösartigen Plugin „up“. Darin finden sich obfuskierte Routinen zum Hoch‑/Herunterladen und Löschen von Dateien, zur Rechteänderung sowie ein Modul, das sich als All in One SEO ausgibt und den Angreifer mittels passwortgeschützter Routine automatisch als Administrator authentisiert. Wird der direkte Vektor blockiert, wird häufig zusätzlich wp-query-console platziert, das Codeausführung ohne Authentifizierung ermöglicht.
Indikatoren der Kompromittierung (IoCs) und Prüfpfade
Verdächtige REST‑Aufrufe im Log
Administratoren sollten Zugriffsprotokolle auf Anfragen an /wp-json/gutenkit/v1/install-active-plugin und /wp-json/hc/v1/themehunk-import prüfen. Wordfence berichtet über Quell‑IPs mit ungewöhnlich hohem Anfragevolumen und empfiehlt strikte WAF‑Regeln und Rate‑Limits für REST‑Endpunkte.
Ungewohnte Dateien und Verzeichnisse
Auffällige Artefakte finden sich in /up, /background-image-cropper, /ultra-seo-processor-wp, /oke und /wp-query-console. Unbekannte PHP‑/ZIP‑Dateien, obfuskierter Code oder neue Cron‑Jobs sind starke Kompromittierungsindikatoren. Betroffene Instanzen sollten isoliert und forensisch untersucht werden.
Patches vorhanden, Risiko bleibt: Update‑Fenster und OWASP‑Kontext
Fixes sind seit fast einem Jahr verfügbar: GutenKit ab 2.1.1 (Oktober 2024), Hunk Companion ab 1.9.0 (Dezember 2024). Viele Sites verharren jedoch auf alten Ständen. Dieses „Update‑Fenster“ zwischen Patch‑Release und Installation erhöht das Risiko signifikant. Aus Sicht der OWASP Top 10 handelt es sich um eine Kombination aus Broken Access Control und Security Misconfiguration, die in massenhaften Kampagnen schnell zu Vollkompromittierungen führt. Automatisierte Scans, das Hosten von Payloads auf legitimen Plattformen wie GitHub und tarnende Plugins senken die Eintrittshürden für Angreifer.
Empfohlene Gegenmaßnahmen für WordPress‑Administratoren
- Sofort updaten: GutenKit ≥ 2.1.1, Hunk Companion ≥ 1.9.0. Nicht genutzte Plugins/Themes entfernen.
- Härtung: Installation/Updates per Konstante DISALLOW_FILE_MODS einschränken (wo betrieblich möglich). WAF aktivieren, REST‑POSTs begrenzen, bekannte bösartige IPs blockieren, Rate‑Limiting setzen.
- Monitoring & IR: Web‑ und REST‑Logs prüfen, Integritätschecks (Hash‑Vergleich) durchführen, Benutzer‑/Rollen‑Audit, Passwörter und AUTH/SALT‑Keys rotieren, MFA für Admin‑Konten erzwingen, kompromittierte Systeme isolieren und Admin‑Zugänge neu ausstellen.
- Backups: Regelmäßige, offline gespeicherte und getestete Backups vorhalten; nach Bereinigung Schlüsselmaterial erneuern.
Die laufende Kampagne zeigt, wie schnell scheinbar kleine Autorisierungsfehler in der REST‑API zur vollständigen Übernahme führen. Wer das Angriffsrisiko nachhaltig senken will, reduziert die Angriffsfläche durch rasches Patchen, restriktive Plugin‑Installation, einen aktuellen WAF‑Schutz und geübte Incident‑Response‑Prozesse. Prüfen Sie Ihre Logs, aktualisieren Sie betroffene Plugins umgehend und stärken Sie Zugriffskontrollen – bevor Sie in der nächsten Wordfence‑Statistik auftauchen. Quellen: Wordfence Threat Intelligence, OWASP Top 10.
