Mehr als eine Million Websites, die das Content-Management-System WordPress nutzen, sind von einer Sicherheitslücke betroffen. Sie steckt in dem Analytics-Plug-in Slimstat und erlaubt es Angreifern, die Kontrolle über eine anfällige Site zu übernehmen. Darauf hat Marc-Alexandre Montpas von der Sicherheitsfirma Sucuri hingewiesen.
Montpas spricht in einem Advisory von einer „sehr gefährlichen“ Schwachstelle, die sich in den Slimstat-Versionen 3.9.5 oder früher findet. Mit ihrer Hilfe könnten Angreifer den „geheimen“ Schlüssel des Plug-ins knacken, eine SQL Injection durchführen und somit die Zielseite übernehmen. Mit Version 3.9.6 der WordPress-Erweiterung wurde die Lücke geschlossen.
Slimstat nutzt den Schlüssel, um Daten zu signieren, die von einem oder an einen Computer gesendet werden, der die Seite besucht. Sucuri zufolge lässt sich dieser aber sehr leicht erraten, weil es sich dabei nur um eine gehashte Version des Zeitstempels zur Installation des Plug-ins handelt. Durch Verwendung einer Website wie Internet Archive könne der mögliche Schlüssel auf Basis des Startjahrs der Site eingegrenzt werden. Dadurch blieben nur noch rund 30 Millionen Werte übrig, die sich mit modernen Computersystemen innerhalb von zehn Minuten durchtesten ließen.
Hat der Angreifer den richtigen Schlüssel gefunden, kann er mit seiner Hilfe eine SQL Injection durchführen, also eigene Datenbankbefehle einschleusen. Auf diese Weise ist er in der Lage, vertrauliche Daten wie Benutzernamen oder gehashte Passwörter auszuspähen und sich Zugang zu WordPress Secret Keys zu verschaffen, um die vollständige Kontrolle über die Site zu übernehmen.
Slimstat ist ein Analytics-Tool, das ein Echtzeit-Aktivitätsprotokoll der Website, Heatmaps, E-Mail-Berichte, Datenexport, Plattform- und Browsererkennung sowie IP-Geolokalisierung umfasst. Die kostenlose Basisversion steht in mehreren Sprachen zur Verfügung und lässt sich um kostenpflichtige Funktionen erweitern.
Laut WordPress‘ Plug-in-Bibliothek wurde Slimstat insgesamt mehr als 1,3 Millionen Mal heruntergeladen. Wer es auf seiner Website einsetzt, sollte sicherstellen, dass sein CMS auf dem neuesten Stand und die jüngste Version des Plug-ins installiert ist.
Einer Statistik zufolge kommt WordPress auf 23,4 Prozent der 10 Millionen meistbesuchten Websites zum Einsatz – darunter auch ZDNet.de. Wie viele Slimstat nicht nur heruntergeladen haben, sondern auch einsetzen, ist unbekannt.
Ähnliche Probleme bereitete Anfang Februar die WordPress-Erweiterung Fancybox, die zur verbesserten Darstellung von Bildern dient. Sie wies eine Zero-Day-Lücke auf, die es Angreifern ebenfalls ermöglichte, beliebigen Code auf der Website auszuführen.
[mit Material von Charlie Osborne, ZDNet.com]
ESET-Experten warnen vor Zero-Day-Exploit, der die Ausführung von schadhaftem Code erlaubt.
Die höchste Verbreitung erzielt die auf Datendiebstahl ausgerichtete Malware Androxgh0st. Bei den Ransomware-Gruppen liebt Clop…
Fraunhofer arbeitet an einer Plattform, die 360°-Live-Streams an mehrere Spielstätten überträgt und den Besuchern Interaktionsmöglichkeiten…
Die kommende Version von Googles Mobilbetriebssystem erreicht Plattform-Stabilität. Damit ist die Entwicklung der APIs von…
Der Manager war bis August 2024 Mitglied des Board of Directors von Intel. Der derzeitige…
Sie erlauben unter anderem das Einschleusen und Ausführen von Schadcode aus der Ferne. Betroffen sind…
