Zero-Day-Lücke im WordPress-SMTP-Plug-in erlaubt das Zurücksetzen von Admin-Passwörtern

Hacker haben eine Möglichkeit gefunden, die Passwörter der Administrator-Konten bestimmter WordPress-Websites ohne Zustimmung der Eigentümer zurückzusetzen. Für ihre Attacken benutzen sie das Plug-in Easy WP SMTP, mit dem sich die Einstellungen eines Postausgangsservers konfigurieren lassen und das für mehr als 500.000 Websites benutzt wird.

Entdeckt wurde die Zero-Day-Lücke nun auch von Ninja Technologies Network. Betroffen ist demnach die Version Easy WP SMTP 1.4.2 und früher. Offenbar legt das Plug-in eine Debug-Log-Datei für alle gesendeten E-Mails in seinem Installationsverzeichnis ab. „Der Plug-in-Ordner hat keine index.html-Datei, weswegen Hacker bei Servern, die das Directory Listing aktiviert haben, die Datei finden und öffnen können“, erklärte Jerome Bruandet von Ninja Technologies Network.

Der Analyse der Sicherheitsforscher zufolge ist es bei anfälligen Versionen des Plug-ins möglich, automatisierte Angriffe auszuführen, um das Administrator-Konto zu identifizieren und das Zurücksetzen des Kennworts einzuleiten. Da beim Zurücksetzen eine E-Mail mit einem Link an das Admin-Konto verschickt wird, taucht auch diese Nachricht im Debug Log auf. Dort finden die Hacker dann den Link zum Zurücksetzen des Passworts, worüber sie dann die Kontrolle über das Admin-Konto der zugehörigen Website erhalten.

„Diese Anfälligkeit wird derzeit ausgenutzt, also stellen sie sicher, so schnell wie möglich auf die neueste Version umzusteigen“, erklärte Bruandet. Behoben wurde der Fehler demnach in der Version Easy WP SMTP 1.4.4 und neuer. Sie speichert die Log-Datei nun im Log-Verzeichnis einer WordPress-Installation, wo sie besser geschützt sei.

Bereits im März 2019 mussten sich die Entwickler des Plug-ins mit einer Zero-Day-Lücke auseinandersetzen. Hacker waren in der Lage, eigene Benutzerkonten anzulegen, darunter auch Konten mit Administratorrechten.

Seit August 2020 bietet WordPress – ab der Version 5.5 – die Möglichkeit, Erweiterungen für das Content Management System automatisch zu aktualisieren. Unklar ist allerdings, wie viele der mehr als 500.000 angreifbaren WordPress-Installation mit dem Easy WP SMTP Plug-in diese Funktion aktiviert haben und somit bereits die sichere Version ausführen.