WP-SHELLSTORM, Millionen

WP-SHELLSTORM: 1,4 Millionen Domains im Visier von Hackern

Veröffentlicht: 11.07.2026 um 18:13 Uhr, Redaktion boerse-global.de

Australische Behörde warnt vor großangelegter Hacker-Kampagne gegen Content-Management-Systeme mit über 1,4 Millionen betroffenen Domains.

WP-SHELLSTORM: Massive Angriffswelle auf WordPress und Joomla
Server-Rack mit leuchtend blauen Linien, Symbol für Cybersicherheit, vor Weltkarte mit hervorgehobenen Regionen. Illustration mit AI erstellt übermittelt durch boerse-global.de

Das australische Cybersicherheitszentrum (ACSC) schlägt Alarm: Eine großangelegte globale Angriffskampagne hat es auf Content-Management-Systeme abgesehen. Besonders betroffen sind WordPress- und Joomla-Websites, über die Angreifer dauerhaften Zugriff auf Server erlangen.

Die Warnungen vom 9. und 11. Juli 2026 zeichnen ein düsteres Bild. Hacker nutzen eine Vielzahl von Plugin-Sicherheitslücken aus, um sogenannte Webshells zu installieren. Diese Hintertüren ermöglichen unbefugten Dauerzugriff auf die betroffenen Server. Bereits zahlreiche kleine und mittlere australische Unternehmen sind betroffen. Es ist bereits das zweite Mal innerhalb von zwei Monaten, dass das ACSC vor massiven CMS-Angriffen warnt – erst im Mai stand eine andere Kampagne im Fokus, die den Schadcode Vidar Stealer verbreitete.

Die WP-SHELLSTORM-Operation im Detail

Cybersicherheitsforscher von SOCRadar und Ctrl-Alt-Intel haben die Kampagne unter dem Namen WP-SHELLSTORM identifiziert. Ermöglicht wurde die Entdeckung durch einen ungeschützten Operator-Server mit der IP-Adresse 137.175.93.126. Dieser blieb 22 Tage lang offen zugänglich und gab rund 800 Megabyte an Daten preis – darunter Exploits, Ziellisten und Webshell-Dateien.

Die gesammelten Daten zeigen das gewaltige Ausmaß: Rund 1,4 Millionen Domains standen auf den Ziellisten. Die Zahl der bestätigten Kompromittierungen variiert je nach Quelle. Ctrl-Alt-Intel zählte 25.195 erfolgreiche Angriffe, während SOCRadar mehr als 5.700 aktive Webshells verfolgte.

Hauptangriffsvektor war das WordPress-Plugin Breeze Cache mit der Schwachstelle CVE-2026-3844. Diese eine Lücke nutzten die Angreifer gegen über 45.000 Websites und installierten mehr als 17.000 Webshells. Auch die Joomla-Komponente JCE war über die Sicherheitslücke CVE-2026-48907 ein wichtiges Ziel.

Anzeige

Angesichts der massiven Angriffswellen auf CMS-Systeme müssen Unternehmen ihre digitale Infrastruktur heute proaktiver schützen als je zuvor. In diesem kostenlosen E-Book erfahren Sie, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen an Ihre IT erfüllen. IT-Sicherheit stärken und Unternehmen schützen

17 Sicherheitslücken im Visier

Die Kampagne nutzt insgesamt 17 bekannte Schwachstellen aus – viele davon längst gepatched. Ein besonders dreistes Beispiel: Die Sicherheitslücke CVE-2025-32432 in Craft CMS wurde bereits im April 2025 geschlossen, wird aber weiterhin gegen ungepatchte Systeme eingesetzt.

Das ACSC listet eine Reihe weiterer betroffener Komponenten auf:

WordPress-Plugins: Simple File List, WavePlayer, BerqWP, WPBookit, Ninja Forms, ThemeREX Addons, pay-uz, ACF Extended, Sneeit Framework, WPvivid Backup, Gravity Forms und GutenKit/Hunk Companion.

CMS-Plattformen: Craft CMS, MaxSite CMS und MetInfo CMS.

Joomla-Komponenten: Joomla JCE.

Die ausgenutzten Schwachstellen umfassen unter anderem Code-Ausführung ohne Authentifizierung, beliebige Datei-Uploads, Server-seitige Request-Fälschung (SSRF) und Deserialisierungsfehler.

Anzeige

Immer mehr Unternehmen werden Opfer automatisierter Cyberangriffe, bei denen Hacker gezielt nach technischen und menschlichen Schwachstellen suchen. Diese Experten-Checkliste hilft Ihnen dabei, sich proaktiv abzusichern und Sicherheitslücken zu schließen, bevor es zu spät ist. Kostenlosen Cyber-Security-Report jetzt herunterladen

Täterprofil und gestohlene Zugangsdaten

Die Spuren auf dem offengelegten WP-SHELLSTORM-Server deuten auf chinesischsprachige Angreifer hin, die vor allem aus finanziellen Motiven handeln. Neben CMS-Plattformen hatten es die Täter auch auf Java-basierte Systeme abgesehen – konkret auf Nacos über die ältere Schwachstelle CVE-2021-29441.

Dabei erbeuteten sie 613 Konfigurationsdateien mit Cloud-Zugangsschlüsseln und anderen sensiblen Anmeldedaten. Die Analysten betonen, dass der Einsatz automatisierter Tools und möglicherweise KI-gestützter Methoden das Tempo dieser Angriffe erheblich beschleunigt hat.

Versicherungen verschärfen Patch-Pflicht

Die Häufigkeit und das Ausmaß dieser CMS-Angriffe haben auch die Versicherungsbranche auf den Plan gerufen. Obwohl die Cyber-Versicherungsquote in Australien 2025 bei nur 3,7 Prozent lag, schreiben die Assekuranzen zunehmend strenge Patch-Management-Regeln in ihren Policen vor.

So gewährt etwa Chubb eine Schonfrist von 45 Tagen für das Einspielen von Sicherheitsupdates. Andere Versicherer wie Coalition schließen Berichten zufolge bereits die Deckung für Schwachstellen aus, deren Patch seit mehr als drei Wochen verfügbar, aber nicht eingespielt wurde.

Das ACSC empfiehlt Website-Betreibern dringend, alle CMS-Kernsoftware und Plugins sofort zu aktualisieren, Server-Logs auf Anzeichen von Webshells zu überprüfen und den Zugriff auf Administrationsoberflächen einzuschränken.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69746488 |