IT-Sicherheitsforscher warnen vor einem aktiven Lieferkettenangriff auf die WordPress-Plug-ins OptinMonster, TrustPulse und möglicherweise PushEngage. Angreifer missbrauchen Schwachstellen darin, um Backdoors in verwundbare WordPress-Instanzen zu installieren. 1,2 Millionen Webseiten sollen bedroht sein.

Das schreiben die Autoren von Sansec in ihrer Analyse. Sie haben eine Supply-Chain-Attacke auf die Plug-ins OptinMonster, TrustPulse und PushEngage des Herstellers Awesome Motive aufgedeckt. Die Angreifer haben dabei bösartiges JavaScript in die legitimen Dateien eingeschleust, die Awesome Motive ausliefert. Diese Dateien sind dann in die Kunden-Webseiten eingebettet. Das bösartige JavaScript wartet darauf, dass sich ein Admin anmeldet, erstellt daraufhin einen Backdoor-Admin-Zugang und installiert noch eine sich versteckende Backdoor als Plugin; bei anderen Zugängen hält es die Füße still. Die neuen Zugangsdaten sendet es an eine Domain „tidio.cc“, die die reguläre Seite „tidio.com“ imitiert. Die Kampagne läuft seit Freitag, dem 12. Juni 2026.

Da die Angreifer volle Kontrolle über erfolgreich angegriffene Instanzen erhalten, können auch weitere Konten regulärer Besucher missbraucht werden. Awesome Motive vertreibt noch weitere populäre WordPress-Plugins. Zwar hat Sansec bislang nur Malware in dreien entdeckt, Nutzerinnen und Nutzer der anderen Plug-ins sollten jedoch aufmerksam bleiben und ihre Systeme auf Hinweise für Angriffe (Indicators of Compromise, IOC) überwachen. Allein das OptinMonster-Plugin kommt auf mehr als eine Million Installationen, erörtert Sansec. Aber auch WPForms mit mehr als sechs Millionen Installationen, All-in-One-SEO (drei Millionen Installationen) oder MonsterInsights (rund zwei Millionen Installationen) könnten möglicherweise im Visier der Angreifer sein.

Angriffe beobachtet

Sansec zufolge haben die IT-Sicherheitsforscher von Patchstack Erkennungen gebaut und damit in kurzer Zeit hunderte Angriffsversuche auf 13 Sites am Sonntag und Montag entdeckt. Wer Plugins von Awesome Motive einsetzt, sollte die in der Analyse genannten IOCs einmal prüfen.

Awesome Motive hat inzwischen ebenfalls reagiert und schreibt, dass Angreifer Zugangsdaten zum Content Delivery Network ergattern und damit Zugriff darauf erlangen konnten. Das nutzten sie zum Einschleusen einer manipulierten Version des JavaScripts, das die Produkte an die Kunden-Webseiten ausliefert. Für einen begrenzten Zeitraum habe das Skript die modifizierte Datei direkt aus dem CDN ausgeliefert. Awesome Motive betont, dass Anwendungsserver, Quellcode und die Systeme, die OptinMonster- und TrustPulse-Kontoinformationen speichern, unabhängig gehostet werden und nicht kompromittiert wurden.

Die Kompromittierung beschränkte sich demnach auf die Marketing-Webseite und durch einen darin gespeicherten CDN-API-Key auf das CDN-Konto. Die manipulierte Software sei einige Stunden am 12. Juni 2026 verteilt worden. Webseiten, die das Skript geladen hatten und wo sich Admins in dem Zeitfenster angemeldet haben, seien kompromittiert. Der Anbieter gibt dann Hilfestellung, wie Betroffene ihre Systeme wieder bereinigen können.

Sicherheitslücken in WordPress-Plug-ins dienen Angreifern immer wieder als Einstiegspunkt, um Systeme zu kapern. Anfang Mai wurden etwa Angriffe auf das WordPress-Plugin Breeze Cache beobachtet. Lieferkettenangriffe wie der nun erfolgte sind bislang jedoch selten.

(dmk)

Im Rahmen der Einführung von iOS 27 hat Apple verschiedene eigene Apps mit einer neuen Ansicht ausgestattet, die Rückschlüsse auf ein kommendes Gerät ermöglichen. Es handelt sich dabei um Anwendungen wie „Wo ist?“, Podcasts, Sprachmemos, Wetter, Fitness+ (außerhalb der Videodarstellung), Home, Kurzbefehle sowie die App zur Steuerung der Apple Watch. Allesamt bekommen mit dem neuen Betriebssystem erstmals eine Darstellung im Querformat, sobald man das iPhone in die Horizontale dreht und die Ausrichtungssperre nicht aktiv ist. Das wiederum passt gut zu Apples geplantem iPhone-Foldable, das in der Gerüchteküche unter dem Namen Ultra läuft und im aufgeklappten Zustand einen breiten Bildschirm aufweist.

Veränderungen an zahlreichen Apps

Weiterhin interessant: iOS 27 stellt Live-Aktivitäten nun auch im Querformat dar und Apple hat an der Darstellung von Apps gearbeitet, die bereits im Querformat verwendet werden können, darunter die Nachrichten-App. Noch nicht im Querformat angezeigt wird hingegen der Homescreen mit den Icons. Dieses Feature gab es dereinst, wurde aber vor inzwischen fast zehn Jahren abgeschafft.

Apple soll die Vorstellung seines ersten Foldable im Herbst – genauer: im September – planen. Zuletzt gab es Unruhe in der Lieferkette und Spekulationen, dass das Gerät zwar gezeigt, dann aber erst Anfang 2027 ausgeliefert werden könnte. Neu sind solche Gerüchte bei vollständig neuen Systemen allerdings nicht. Das Format des iPhone Ultra soll aufgeklappt ungefähr Passmaße haben und dabei an ein breites iPhone mini oder iPad mini erinnern. Das Seitenverhältnis ist angeblich 4:3, wobei 16:9 für Videoinhalte besser wäre. iOS 27 wird auch das Betriebssystem sein, mit dem das Foldable ausgeliefert wird.

Eine Frage der Darstellung

Unklar bleibt, welche Darstellungsformen das Foldable ermöglichen wird. Beobachter gehen derzeit nicht davon aus, dass Apple im aufgeklappten Zustand ein echtes Fenstermanagement wie beim iPad erlaubt. Denkbar wäre aber eine Split-Screen-Darstellung. So könnten etwa zwei Apps im Hochformat nebeneinander oder zwei Apps im Querformat übereinander platziert werden. Eine einzelne App im Querformat, wie sie iOS 27 nun bei zahlreichen weiteren Apple-Programmen ermöglicht, wäre auf dem iPhone Ultra wohl sehr groß. Da das iPhone allerdings bislang auf den Ein-App-Betrieb ausgelegt ist, könnte Apple diesen Modus zumindest erlauben oder standardmäßig aktivieren.

Die Geräte sollen die bislang teuersten iPhones aller Zeiten werden. Apple strebt angeblich Preise von deutlich über 2000 Euro an. Zu den Besonderheiten gehören ein faltenfreies Design im aufgeklappten Zustand sowie ein besonders haltbares Scharnier.

(bsc)

Es war ein Dienstagnachmittag, als mein Kollege und ich mit zwei großen Kartons warmer Pizza auf die Sicherheitsschleuse eines mittelgroßen deutschen Unternehmens zugingen. Kartons hoch, Blick auf den Boden, sichtlich überfordert. Ein Mitarbeiter, der gerade das Gebäude verließ, hielt uns nicht nur die Tür auf – er drückte uns auch noch den Fahrstuhlknopf. Keine Frage. Kein Zögern. Nur Hilfsbereitschaft.

Das Gebäude hatte biometrische Leser, Kameraüberwachung und eine Sicherheitsrichtlinie, die Besucher explizit verpflichtete, sich am Empfang anzumelden. Keines dieser Systeme hat uns aufgehalten. Ein einziger menschlicher Reflex hat uns eingelassen: Höflichkeit. Dieser Moment ist kein Einzelfall. Er ist ein Muster.

Als Physical Pentester begegnen einem dieselben Schwachstellen immer wieder – in Unternehmen unterschiedlicher Größe, unterschiedlicher Branchen und mit unterschiedlichem Sicherheitsbudget. Was sie gemeinsam haben: Die technische Infrastruktur ist oft beeindruckend. Die menschliche Seite nicht, wie die drei folgenden Fälle zeigen.

Das war die Leseprobe unseres heise-Plus-Artikels „Penetrationstest: Warum physische Sicherheit scheitert – und wie man das ändert“.
Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.