UpdraftPlus-Lücke löst Supply-Chain-Angriff aus
Sie befinden sich: Home > News Archiv > Webmaster > UpdraftPlus-Lücke lö...
Erst war es nur eine Lücke im Backup-Plugin UpdraftPlus. Dann gelangten Angreifer darüber an einen CDN-Schlüssel von Awesome Motive und verteilten Schadcode an über 1,2 Millionen Seiten. Wie die Kette funktioniert und wer wirklich betroffen ist.Eine Sicherheitslücke in einem Backup-Plugin klingt nach Routine. Update einspielen, fertig. Bei UpdraftPlus war es das nicht. Die Lücke mit der Kennung CVE-2026-10795 wurde Mitte Juni zur Eintrittstür für einen Lieferkettenangriff, der am Ende über 1,2 Millionen WordPress-Seiten erreichte. Zwei Vorfälle, die zunächst getrennt aussahen, hängen direkt zusammen.
Die Lücke, mit der alles anfing
UpdraftPlus ist eines der meistgenutzten Backup-Plugins für WordPress und läuft auf über drei Millionen Seiten. Betroffen waren alle Versionen bis einschließlich 1.26.4. Den Fehler fand der Sicherheitsforscher vtim, der dafür ein Bug-Bounty von 5.200 US-Dollar bekam. Wordfence stuft die Lücke mit einem CVSS-Wert von 8.1 als hoch ein.
Der Mechanismus dahinter ist hübsch fies. Für Seiten, die die Fernverwaltung UpdraftCentral angebunden haben, lauscht das Plugin bei jedem Seitenaufruf auf verschlüsselte Steuerbefehle. Beim Entschlüsseln prüft der Code aber nicht, ob das überhaupt geklappt hat. Schlägt die Entschlüsselung fehl, rutscht ein leerer Wert durch, und der AES-Schlüssel kollabiert auf lauter Nullen. Diesen Null-Schlüssel kennt jeder. Ein Angreifer verschlüsselt damit seine eigenen Befehle, schickt sie ans Plugin, und das führt sie als der angemeldete Administrator aus. Am Ende der Kette steht das, was niemand will: Ein fremdes Plugin wird hochgeladen, aktiviert und führt beliebigen Code aus.
Eine Einschränkung gehört dazu, und sie geht in vielen Meldungen unter. Angreifbar war nur, wer UpdraftCentral oder den Migrator aktiv nutzte. Laut UpdraftPlus betrifft das weniger als zehn Prozent der Installationen. Wer das Plugin nur für stille Backups einsetzt, war kaum gefährdet. Patchen sollte man trotzdem: Die kostenlose Version 1.26.5 und die Premium-Version 2.26.5 schließen die Lücke. Dass fast alle WordPress-Lücken inzwischen in den Plugins stecken, nicht im Core, ist kein Zufall. Dieser Fall ist nur das jüngste Beispiel dafür.
Vom Marketing-Server zum Generalschlüssel
Hier wird es interessant. Awesome Motive, einer der größten Plugin-Anbieter im WordPress-Umfeld, betreibt unter anderem OptinMonster, TrustPulse und PushEngage. Nach eigener Darstellung drangen Angreifer über genau diese UpdraftPlus-Lücke in einen Server ein, auf dem eine Marketing-Website lief. Dieser Server gehörte nicht zur Produktion, lagerte aber einen API-Schlüssel für das Content Delivery Network. Mit diesem einen Schlüssel ließ sich der JavaScript-Code manipulieren, den Awesome Motive über sein CDN an alle Kundenseiten ausliefert.
Das ist der eigentliche Hebel. Nicht die gut gesicherte Produktionsumgebung wurde geknackt, sondern ein zweitrangiger Marketing-Server. Ein dort vergessener Schlüssel öffnete den Weg zu über einer Million fremder Seiten. Das Prinzip kennt man vom Polyfill.io-Angriff von 2024: Manipuliert man eine einzige zentrale Datei, erreicht der Schadcode Tausende Seiten auf einmal, ohne dass deren Betreiber irgendetwas falsch gemacht hätten.
Wie der Schadcode arbeitet
Das eingeschleuste JavaScript war geduldig. Für normale Besucher passierte gar nichts. Erst wenn ein angemeldeter Administrator eine betroffene Seite öffnete, wurde es aktiv. Vorher prüfte das Skript sogar, ob es in einem echten Browser läuft und nicht in einem automatisierten Test, und es erkannte „Benutzer existiert bereits“-Meldungen in rund zwanzig Sprachen. Diese Mühe zeigt, dass hier niemand experimentiert hat.
Mit der Sitzung des Admins legte der Code im Hintergrund ein neues Administrator-Konto an und installierte ein Plugin, das sich selbst versteckt. Es taucht weder in der Plugin-Liste noch in der Benutzerliste auf, nicht bei den Update-Prüfungen und nicht über die REST-Schnittstelle. Wer im Dashboard nachsieht, findet nichts. Sansec bringt es auf den Punkt: In so einem Fall darf man der Oberfläche nicht mehr trauen, nur noch dem, was tatsächlich auf der Festplatte liegt.
Das versteckte Plugin ist eine voll ausgestattete Hintertür. Es öffnet eine Web-Shell mit dem Namen „WPM File Manager & Shell“, über die sich beliebige Befehle ausführen und Dateien hoch- und herunterladen lassen. Die erbeuteten Zugangsdaten wandern verschlüsselt an die Domain tidio.cc, eine bewusste Nachahmung des echten Dienstes tidio.com. Diese Adresse war schon Ende April registriert worden, lange vor dem eigentlichen Angriff.
Bin ich betroffen, und was ist zu tun?
Die ehrliche Antwort: Statistisch haben viele Seiten Glück gehabt, weil die Zeitfenster kurz waren. Bei OptinMonster und TrustPulse lief der Schadcode am 12. Juni nur rund 25 Minuten. Beim PushEngage-SDK hielt er sich bis zum 14. Juni an einzelnen CDN-Knoten. Sicher sagen lässt sich das nicht, deshalb gilt: Wer eines der drei Plugins nutzt und in diesem Zeitraum als Admin eingeloggt war, sollte von einer Kompromittierung ausgehen und nachsehen. Konkret heißt das:
- UpdraftPlus auf 1.26.5 (kostenlos) oder 2.26.5 (Premium) aktualisieren, UpdraftCentral auf 0.8.32.
- Die Benutzerliste auf unbekannte Administratoren prüfen, vor allem auf ein Konto namens „developer_api1“ oder zufällige Namen nach dem Muster „dev_xxxxxx“.
- Den Server nach versteckten Plugins durchsuchen, die unter Tarnnamen wie „Content Delivery Helper“ oder „Database Optimizer“ laufen. Im Dashboard sind sie unsichtbar, auf der Festplatte nicht.
- Logs und ausgehenden Verkehr auf Verbindungen zu tidio.cc kontrollieren.
- Alle Admin-Passwörter und hinterlegten Schlüssel neu setzen.
Awesome Motive hat die Marketing-Site inzwischen bereinigt, auf einen neuen Server umgezogen und alle Zugangsdaten erneuert. Anwendungsserver, Quellcode und die Systeme mit den Kontodaten lägen getrennt und seien nicht betroffen gewesen. Eine aktiv ausgenutzte Schwachstelle wie diese, also genau die Sorte, die ab dem 11. September unter die 24-Stunden-Meldepflicht des Cyber Resilience Act fällt, ist damit kein internes Problem mehr, sondern ein Vorfall mit Aussenwirkung.
Was bleibt
Der wunde Punkt liegt nicht bei den drei betroffenen Plugins, sondern in der Annahme dahinter. Wer ein fremdes Skript von einem fremden Server lädt, vertraut nicht nur dem Plugin, sondern auch dessen gesamter interner Lieferkette. Genau dieses Vertrauen wurde hier ausgenutzt. Dabei gibt es eine Technik, die den Angriff direkt im Browser gestoppt hätte: Subresource Integrity, kurz SRI. Man hinterlegt einen Prüfwert für jede eingebundene Datei, und der Browser startet sie nur, wenn sie unverändert ist. Manipulierter CDN-Code wäre gar nicht erst gelaufen. Die Technik ist alt und in allen Browsern verfügbar. Genutzt wird sie viel zu selten. Vielleicht ändert dieser Fall daran etwas.
updraftplus motive plugin awesome backup schlüssel
Webung: Hier bekommen Sie PHP fähigen Webspace der mit Ökostrom betrieben wird ab bereits 2 Euro/ Monat für ihre Homepage. Zusätzlich ist eine eigene Internetadresse mit enthalten.
Neusten News in der Kategorie "Webmaster"
| • KI-Crawler blocken, zur Kasse bitten oder zulassen? GPTBot, ClaudeBot und PerplexityBot überziehen Webseiten mit Anfragen.... |
| • SSL-Zertifikate 2026: Nur noch 47 Tage statt 398 Einmal im Jahr das SSL-Zertifikat erneuern? Damit ist bald Schluss. Bi... |
| • WordPress 7.0 ist da, doch Plugins bleiben das Risiko WordPress 7.0 ist da, mit KI im Core und einer gestrichenen Vorzeigefu... |
| • Cyber Resilience Act: Was ab 11. September 2026 gilt Ab dem 11. September 2026 müssen Hersteller digitaler Produkte aktiv a... |
| • GEO: So wird Ihre Website in KI-Antworten zitiert Wer bei Google ganz oben steht, taucht in ChatGPT oder Perplexity oft ... |
| • Google Spam Update Juni 2026: Das sollten Sie tun Am 24. Juni hat Google das June 2026 Spam Update ausgerollt. Ohne Blog... |
| • Token-Explosion: So ruinieren MCP-Server Ihren Coding-Workfl... MCP-Server wirken wie clevere Helfer, doch sie können Ihren KI-Co... |
| • Neue Hürden für Entwickler: So meistern Sie den raueren Arbe... Die Suche nach Programmierjobs wird zur Herausforderung. Automatisieru... |
| • FAIR ersetzt WordPress.org-API mehr Kontrolle für Entwickle... Die Linux Foundation startet mit FAIR einen neuen, dezentralen Paketma... |
| • GitHub-Sicherheitslücke: Private und gelöschte Repos bleiben... GitHub hat ein erhebliches Sicherheitsproblem: Gelöschte und private R... |
Kommentar schreiben
Teilen Sie uns Ihre Meinung mit. Ihr Kommentar wird nach Pruefung veroeffentlicht.