Mehr als eine Million Websites, die das Content-Management-System WordPress nutzen, sind von einer Sicherheitslücke betroffen. Sie steckt in dem Analytics-Plug-in Slimstat und erlaubt es Angreifern, die Kontrolle über eine anfällige Site zu übernehmen. Darauf hat Marc-Alexandre Montpas von der Sicherheitsfirma Sucuri hingewiesen.
Montpas spricht in einem Advisory von einer „sehr gefährlichen“ Schwachstelle, die sich in den Slimstat-Versionen 3.9.5 oder früher findet. Mit ihrer Hilfe könnten Angreifer den „geheimen“ Schlüssel des Plug-ins knacken, eine SQL Injection durchführen und somit die Zielseite übernehmen. Mit Version 3.9.6 der WordPress-Erweiterung wurde die Lücke geschlossen.
Slimstat nutzt den Schlüssel, um Daten zu signieren, die von einem oder an einen Computer gesendet werden, der die Seite besucht. Sucuri zufolge lässt sich dieser aber sehr leicht erraten, weil es sich dabei nur um eine gehashte Version des Zeitstempels zur Installation des Plug-ins handelt. Durch Verwendung einer Website wie Internet Archive könne der mögliche Schlüssel auf Basis des Startjahrs der Site eingegrenzt werden. Dadurch blieben nur noch rund 30 Millionen Werte übrig, die sich mit modernen Computersystemen innerhalb von zehn Minuten durchtesten ließen.
Hat der Angreifer den richtigen Schlüssel gefunden, kann er mit seiner Hilfe eine SQL Injection durchführen, also eigene Datenbankbefehle einschleusen. Auf diese Weise ist er in der Lage, vertrauliche Daten wie Benutzernamen oder gehashte Passwörter auszuspähen und sich Zugang zu WordPress Secret Keys zu verschaffen, um die vollständige Kontrolle über die Site zu übernehmen.
Slimstat ist ein Analytics-Tool, das ein Echtzeit-Aktivitätsprotokoll der Website, Heatmaps, E-Mail-Berichte, Datenexport, Plattform- und Browsererkennung sowie IP-Geolokalisierung umfasst. Die kostenlose Basisversion steht in mehreren Sprachen zur Verfügung und lässt sich um kostenpflichtige Funktionen erweitern.
Laut WordPress‘ Plug-in-Bibliothek wurde Slimstat insgesamt mehr als 1,3 Millionen Mal heruntergeladen. Wer es auf seiner Website einsetzt, sollte sicherstellen, dass sein CMS auf dem neuesten Stand und die jüngste Version des Plug-ins installiert ist.
Einer Statistik zufolge kommt WordPress auf 23,4 Prozent der 10 Millionen meistbesuchten Websites zum Einsatz – darunter auch ZDNet.de. Wie viele Slimstat nicht nur heruntergeladen haben, sondern auch einsetzen, ist unbekannt.
Ähnliche Probleme bereitete Anfang Februar die WordPress-Erweiterung Fancybox, die zur verbesserten Darstellung von Bildern dient. Sie wies eine Zero-Day-Lücke auf, die es Angreifern ebenfalls ermöglichte, beliebigen Code auf der Website auszuführen.
[mit Material von Charlie Osborne, ZDNet.com]
Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…
Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…
Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.
Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…
Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…
Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…