Stimmen die Voraussetzungen, können Angreifer WordPress-Websites mit dem Plug-in Dokan Pro attackieren, um Admin-Accounts zu übernehmen und Seiten zu kompromittieren.

Die Gefahr

Mit dem Plug-in setzt man Onlineshops auf, in denen sich Nutzer als Verkäufer mit eigenen Marktplatzshops registrieren können. Nun weisen Sicherheitsforscher von Wordfence in einem Beitrag auf eine mittlerweile geschlossene Sicherheitslücke (CVE-2025-5931 „hoch„) hin.

Um eine Attacke einleiten zu können, müssen Angreifer aber bereits authentifiziert sein. Ist das gegeben, können sie am fehlerhaften Code, über den sich Nutzer als Marktplatzverkäufer registrieren können, ansetzen und einen neuen Nutzer mit Adminrechten anlegen. Im Anschluss können sie ein eigenes Passwort festlegen und weitreichend auf die Website zugreifen. Darüber können sie etwa Hintertüren in Onlineshops verankern.

Sicherheitspatch verfügbar

Die Entwickler versichern, dass sie die Version 4.0.6 gegen die geschilderte Attacke abgesichert haben. Alle vorigen Ausgaben sollen verwundbar sein. Unklar ist derzeit, ob es bereits Attacken gibt. Admins von WordPress-Websites mit diesem Plug-in sollten in den Einstellungen Ausschau nach unbekannten Accounts halten. Werden sie fündig, sollten sie die Konten umgehend löschen.

Zuletzt wurden Sicherheitslücken im WordPress-Plug-in UiCore Elements mit rund 40.000 aktiven Installationen geschlossen. An dieser Stelle konnten Angreifer eigentlich abgeschottete Informationen auf Servern einsehen.

(des)

Auf Admins der Cloud-basierten Fernwartungssoftware ScreenConnect läuft eine Spear-Phishing-Kampagne. Das haben IT-Sicherheitsforscher herausgefunden. Den Angreifern geht es dabei um initialen Zugriff auf Netzwerke, um Ransomware zu platzieren.

In einer Analyse der Speer-Phishing-Kampagne erörtert Mimecast, dass die Kampagne in mehreren Läufen seit 2022 aktiv ist. Die Angreifer versendeten in den einzelnen Durchgängen stets vergleichsweise wenige E-Mails, bis zu 1000. Dadurch bleiben sie weitgehend unentdeckt. Für den Mail-Versand nutzen die kriminellen Drahtzieher Amazon Simple E-Mail-Service-Konten (SES) und zielen auf leitende ITler ab, etwa Leiter, Manager oder IT-Security-Mitarbeiter mit erhöhten Zugangsrechten in ScreenConnect-Umgebungen. Die Angreifer haben es insbesondere auf Super-Admin-Zugänge abgesehen, die weitreichende Kontrolle über die Fernzugriff-Struktur ganzer Organisationen erlauben.

Die Angreifer verwenden Logos und Optik von ScreenConnect respektive Hersteller Connectwise. In den Phishing-Mails thematisieren sie etwa einen Alarm wegen Zugriffen von neuen IP-Adressen. Die Schaltfläche „Review Security“ in der Mail führt dann auf die Phishing-Seiten – die ebenfalls an die Original-Optik angelehnt sind. Auch die URLs wirken auf den ersten Blick korrekt. Sie verwenden unter anderem Top-Level-Domains, die Connectwise tatsächlich nutzen könnte, wie connectwise[.]com.ar oder connectwise[.]com.be.

Fortschrittliche Angriffe

Für die Phishing-Seiten setzen die bösartigen Akteure auf das EvilGinx-Open-Source-Framework. Es sitzt in einer Man-in-the-Middle-Position und dient dem Abfangen von Zugangsdaten und Codes für die Multifaktorauthentifizierung. Damit können die Angreifer persistenten Zugriff auf kompromittierte Zugänge erhalten. Den nutzen sie für die laterale Fortbewegung in den Netzwerken der Opfer, um zusätzliche Zugriffstools oder Malware auf verwalteten Endpunkte zu installieren.

Indizien für Infektionen (Indicators of Compromise, IOCs) nennt Mimecast in der Analyse in Form bislang beobachteter missbrauchter Angriffs-Domains und Infrastruktur-Diensten. Einige Tipps sollen helfen, die Zugangssicherheit zu verbessern. So sollten Unternehmen etwa den ScreenConnect-Admin-Zugang lediglich von verwalteten Geräten in der Organisation aus erlauben. Die Umstellung auf FIDO2/WebAuthn für ScreenConnect-Zugänge schützt diese zudem vor Phishing. Die Analyse liefert noch weitere mögliche Optimierungen.

Die Fernwartungssoftware Connectwise ScreenConnect steht bei Angreifern weit oben auf der Liste. Etwa Anfang Juni warnte die US-amerikanische IT-Sicherheitsbehörde CISA vor laufenden Angriffen. Am gleichen Tag haben Angreifer jedoch nicht nur Sicherheitslücken in der Software attackiert, sondern Connectwise gab bekannt, dass staatlich gelenkte Angreifer in die Netze des Anbieters eingedrungen sind.

(dmk)

Der brandenburgische Polizeipräsident Oliver Stepien ist offen für den Einsatz von Künstlicher Intelligenz in der Polizeiarbeit – unter bestimmten Voraussetzungen. „Wir müssen KI mit Nachdruck betreiben, weil das der Beginn einer Entwicklung ist, glaube ich, deren Umfang und abschließende Wirkung überhaupt noch nicht absehbar ist. Dem müssen wir uns stellen“, sagte Stepien der Deutschen Presse-Agentur in Potsdam. „Wir müssen dafür offen sein.“

Innenminister: Polizei muss mehr Möglichkeiten bei KI bekommen

Per Polizeigesetz, das bis Ende 2027 reformiert werden soll, muss die Polizei aus Sicht von Innenminister René Wilke mehr Möglichkeiten auch in Sachen KI und bei der Verwertung von Daten bekommen. „Da ist, glaube ich, noch ein Stückchen Weg vor uns, wo wir uns auch modernisieren müssen“, sagte der parteilose Politiker vor Kurzem der dpa.

Zuletzt war eine Debatte um eine umstrittene Analyse-Software des US-Unternehmens Palantir zur Verbrechensbekämpfung entbrannt. Datenschützer warnen, dass sensible Daten abgezweigt werden könnten. Die Polizei in einigen Bundesländern nutzt die Software – Brandenburg nicht.

Innenminister Wilke äußerte sich zuletzt skeptisch dazu. Mit der Software namens Gotham, die in Bundesländern als angepasste Version unter den Namen Hessendata, DAR und VeRA läuft, kann die Polizei große Mengen an Daten auswerten und Verbindungen herstellen.

KI bislang bei Vernehmungen in Brandenburg im Einsatz

Die Polizei in Brandenburg nutze bislang KI beispielsweise zur Transkription von audiovisuellen Vernehmungen, aber noch keine Systeme, die etwa eigenständig Straftaten oder Straftäter an deren Verhalten erkennen könnten, so Stepien. „Für eine abschließende Strategie brauchen wir zuerst ein einheitliches Begriffsverständnis von KI, klare Rechtsgrundlagen und bestimmte Eingriffsbefugnisse.“ Es müssten immer auch ethische Fragen geklärt werden.

„Bislang wurde eine Zeugenvernehmung abgetippt und ausgedruckt. Aber je mehr wir solche Dinge vereinfachen und erleichtern, desto mehr Zeit ist ja für die eigentliche Kriminalitätsbekämpfung da“, sagte Innenminister Wilke der dpa.

Debatte um Gesichtserkennungs-Software

Er wie auch Polizeipräsident Stepien halten eine Gesichtserkennungs-Software zur Strafverfolgung für hilfreich. „Aber dann steckt der Teufel auch im Detail“, meinte der Polizeipräsident. „Also nicht alles, was geht, dürfen wir.“

Der Innenminister befürwortet ein System zur automatisierten Gesichtserkennung (PerlS) zur Unterstützung der Ermittlungsarbeit etwa, wenn Täter auf der Flucht sind. „Es darf kein Freifahrtschein sein, aber die Fähigkeiten müssen wir uns für spezielle Fälle geben“, so Wilke.

(dmk)