Mehr als eine Million Websites, die das Content-Management-System WordPress nutzen, sind von einer Sicherheitslücke betroffen. Sie steckt in dem Analytics-Plug-in Slimstat und erlaubt es Angreifern, die Kontrolle über eine anfällige Site zu übernehmen. Darauf hat Marc-Alexandre Montpas von der Sicherheitsfirma Sucuri hingewiesen.
Montpas spricht in einem Advisory von einer „sehr gefährlichen“ Schwachstelle, die sich in den Slimstat-Versionen 3.9.5 oder früher findet. Mit ihrer Hilfe könnten Angreifer den „geheimen“ Schlüssel des Plug-ins knacken, eine SQL Injection durchführen und somit die Zielseite übernehmen. Mit Version 3.9.6 der WordPress-Erweiterung wurde die Lücke geschlossen.
Slimstat nutzt den Schlüssel, um Daten zu signieren, die von einem oder an einen Computer gesendet werden, der die Seite besucht. Sucuri zufolge lässt sich dieser aber sehr leicht erraten, weil es sich dabei nur um eine gehashte Version des Zeitstempels zur Installation des Plug-ins handelt. Durch Verwendung einer Website wie Internet Archive könne der mögliche Schlüssel auf Basis des Startjahrs der Site eingegrenzt werden. Dadurch blieben nur noch rund 30 Millionen Werte übrig, die sich mit modernen Computersystemen innerhalb von zehn Minuten durchtesten ließen.
Hat der Angreifer den richtigen Schlüssel gefunden, kann er mit seiner Hilfe eine SQL Injection durchführen, also eigene Datenbankbefehle einschleusen. Auf diese Weise ist er in der Lage, vertrauliche Daten wie Benutzernamen oder gehashte Passwörter auszuspähen und sich Zugang zu WordPress Secret Keys zu verschaffen, um die vollständige Kontrolle über die Site zu übernehmen.
Slimstat ist ein Analytics-Tool, das ein Echtzeit-Aktivitätsprotokoll der Website, Heatmaps, E-Mail-Berichte, Datenexport, Plattform- und Browsererkennung sowie IP-Geolokalisierung umfasst. Die kostenlose Basisversion steht in mehreren Sprachen zur Verfügung und lässt sich um kostenpflichtige Funktionen erweitern.
Laut WordPress‘ Plug-in-Bibliothek wurde Slimstat insgesamt mehr als 1,3 Millionen Mal heruntergeladen. Wer es auf seiner Website einsetzt, sollte sicherstellen, dass sein CMS auf dem neuesten Stand und die jüngste Version des Plug-ins installiert ist.
Einer Statistik zufolge kommt WordPress auf 23,4 Prozent der 10 Millionen meistbesuchten Websites zum Einsatz – darunter auch ZDNet.de. Wie viele Slimstat nicht nur heruntergeladen haben, sondern auch einsetzen, ist unbekannt.
Ähnliche Probleme bereitete Anfang Februar die WordPress-Erweiterung Fancybox, die zur verbesserten Darstellung von Bildern dient. Sie wies eine Zero-Day-Lücke auf, die es Angreifern ebenfalls ermöglichte, beliebigen Code auf der Website auszuführen.
[mit Material von Charlie Osborne, ZDNet.com]
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
