Hacker greifen Zero-Day-Lücke in WordPress-Ergänzung an

Kriminelle nutzen derzeit einen Fehler in einem Werkzeug für die Blog-Software WordPress aus. Es handelt sich um ein Open-Source-Tool zur Anpassung der Größe von Grafiken und Fotos namens Timthumb, das Element vieler WordPress-Themes (also vordefinierter Blog-Designs) ist.

Timthumb kann Bilder beschneiden, Ausschnitte vergrößern und die Auflösung reduzieren. Das Werkzeug, das Millionen Blogs einsetzen, schreibt Dateien während des Änderungsprozesses direkt in einen Ordner. Wie jetzt klar wurde, kann es auch missbraucht werden, um webbasierte Angriffe zu starten.

Die Schwachstelle hat der CEO von Feedjit, Mark Maunder, entdeckt, der nach einem erfolgreichen Angriff auf seinen eigenen Blog eine Analyse vorgenommen hatte. Er schreibt: „Endlich habe ich es gefunden. Der Hacker hat in einer der PHP-Dateien von WordPress ein eval(base64_decode(‚langer auf Basis 64 codierter String‘)) durchgeführt. Mein Fehler, dass ich der Datei eine Schreibgenehmigung für den Webserver erteilt habe.“ Aber auch mit korrekten Rechten seien WordPress-Installationen angreifbar.

Maunder berichtet, wie er anschließend die Logdateien von nginx und Apache durchstöbert habe und schließlich auf einige aussagekräftige PHP-Fehler gestoßen sei. Sein Theme „Memoir“, für das er bei ElegantThemes.com 30 Dollar gezahlt habe, enthalte die Library timthumb.php, die wiederum ein Cache-Verzeichnis verwende. Für einen Angriff müsse ein Hacker daher nur herausfinden, wie er Timthumb dazu veranlassen könne, eine PHP-Datei aus dem Netz zu laden und in dieses Verzeichnis zu schreiben.

Aufgrund seiner Beobachtung hat Maunder einen Patch für das Open-Source-Werkzeug geschrieben. Er stellt außerdem ausführliche Anweisungen für WordPress-Nutzer bereit, wie sie ihr System auf die Schwachstelle prüfen und sie gegebenenfalls schließen können.