Mehr als eine Million Websites, die das Content-Management-System WordPress nutzen, sind von einer Sicherheitslücke betroffen. Sie steckt in dem Analytics-Plug-in Slimstat und erlaubt es Angreifern, die Kontrolle über eine anfällige Site zu übernehmen. Darauf hat Marc-Alexandre Montpas von der Sicherheitsfirma Sucuri hingewiesen.
Montpas spricht in einem Advisory von einer „sehr gefährlichen“ Schwachstelle, die sich in den Slimstat-Versionen 3.9.5 oder früher findet. Mit ihrer Hilfe könnten Angreifer den „geheimen“ Schlüssel des Plug-ins knacken, eine SQL Injection durchführen und somit die Zielseite übernehmen. Mit Version 3.9.6 der WordPress-Erweiterung wurde die Lücke geschlossen.
Slimstat nutzt den Schlüssel, um Daten zu signieren, die von einem oder an einen Computer gesendet werden, der die Seite besucht. Sucuri zufolge lässt sich dieser aber sehr leicht erraten, weil es sich dabei nur um eine gehashte Version des Zeitstempels zur Installation des Plug-ins handelt. Durch Verwendung einer Website wie Internet Archive könne der mögliche Schlüssel auf Basis des Startjahrs der Site eingegrenzt werden. Dadurch blieben nur noch rund 30 Millionen Werte übrig, die sich mit modernen Computersystemen innerhalb von zehn Minuten durchtesten ließen.
Hat der Angreifer den richtigen Schlüssel gefunden, kann er mit seiner Hilfe eine SQL Injection durchführen, also eigene Datenbankbefehle einschleusen. Auf diese Weise ist er in der Lage, vertrauliche Daten wie Benutzernamen oder gehashte Passwörter auszuspähen und sich Zugang zu WordPress Secret Keys zu verschaffen, um die vollständige Kontrolle über die Site zu übernehmen.
Slimstat ist ein Analytics-Tool, das ein Echtzeit-Aktivitätsprotokoll der Website, Heatmaps, E-Mail-Berichte, Datenexport, Plattform- und Browsererkennung sowie IP-Geolokalisierung umfasst. Die kostenlose Basisversion steht in mehreren Sprachen zur Verfügung und lässt sich um kostenpflichtige Funktionen erweitern.
Laut WordPress‘ Plug-in-Bibliothek wurde Slimstat insgesamt mehr als 1,3 Millionen Mal heruntergeladen. Wer es auf seiner Website einsetzt, sollte sicherstellen, dass sein CMS auf dem neuesten Stand und die jüngste Version des Plug-ins installiert ist.
Einer Statistik zufolge kommt WordPress auf 23,4 Prozent der 10 Millionen meistbesuchten Websites zum Einsatz – darunter auch ZDNet.de. Wie viele Slimstat nicht nur heruntergeladen haben, sondern auch einsetzen, ist unbekannt.
Ähnliche Probleme bereitete Anfang Februar die WordPress-Erweiterung Fancybox, die zur verbesserten Darstellung von Bildern dient. Sie wies eine Zero-Day-Lücke auf, die es Angreifern ebenfalls ermöglichte, beliebigen Code auf der Website auszuführen.
[mit Material von Charlie Osborne, ZDNet.com]
Der Anteil steigt seit 2020 um 34 Prozentpunkte. Allein 2023 erfasst Kaspersky rund 10 Millionen…
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
