Schwerwiegende Sicherheitslücke macht WordPress-Websites angreifbar

WordPress kennt die Schwachstelle schon seit Anfang 2017. Ein erster Patch bringt nicht den gewünschten Erfolg. Hacker können weiterhin mithilfe von speziell präparierten Thumbnail-Dateien Schadcode einschleusen und ausführen.

Der Forscher Sam Thomas vom britischen Sicherheitsanbieter Secarma hat auf der Cybersecurity-Konferenz BSides in Manchester einen Angriff auf das WordPress PHP Framework demonstriert, der zu einer vollständigen Kompromittierung einer Website führen kann. Ermöglicht wird dies durch eine Sicherheitslücke, die seit einem Jahr ungepatcht ist.

Bug entdeckt (Bild: Shutterstock)Voraussetzung ist jedoch, dass eine Domain den Upload von Dateien erlaubt. Ein In dem Fall kann ein Angreifer eine speziell gestaltete Thumbnail-Datei hochladen, die wiederum unter anderem einen Server Side Request Forgery Bug anspricht. Die Forscher weisen darauf hin, dass dadurch nicht nur vertrauliche Daten preisgegeben werden können, sondern unter Umständen auch eine Remotecodeausführung möglich ist.

Die eigentliche Anfälligkeit steckt dem Forscher zufolge in der Funktion „wp_get_attachment_thumb_file“ in der Datei „/wpincludes/post.php“. Angreifer müssen lediglich die Kontrolle über einen Parameter im Aufruf „file_exists“ erlangen. Ist darüber hinaus das Autoloading aktiv, kann Code geladen und ausgeführt werden, um das gesamte PHP-Framework zu kompromittieren.

Das zugrundeliegende Problem der Unserialisierung von Variablen ist bereits seit 2009 bekannt. Seitdem wurden mehrere derartige PHP-Schwachstellen beseitigt. „Ich habe betont, dass die Unserialisierung vielen Schwachstellen ausgesetzt ist, die bisher als recht risikoarm galten“, erklärte Thomas. „Probleme, von denen man dachten, dass sie durch eine Konfigurationsänderung behoben wurden oder die zuvor als eher geringfügig angesehen wurden, müssen im Lichte der von mir gezeigten Angriffe neu bewertet werden.“

Ein erster Patch-Versuch von WordPress scheitert

WordPress wurde laut Secarma bereits im Februar 2017 über das Sicherheitsprämienprogramm HackerOne von der neuen Anfälligkeit informiert, für die es noch keine CVE-Kennung gibt. WordPress habe den Bug bestätigt und im Mai 2017 versucht, den Fehler zu beheben – jedoch ohne Erfolg. Danach sei die Kommunikation mit WordPress für mehrere Monate abgebrochen.

Ein Patch für die Sicherheitslücke steht also noch aus. Secarma zufolge gibt es bisher keine Hinweise darauf, dass die Schwachstelle aktiv ausgenutzt wird. Das könnte sich jedoch ändern, da die technischen Details des Bugs nun in einem Whitepaper (PDF) verfügbar sind.

HIGHLIGHT

Report: Entwicklung der Cloud-Nutzung

McAfee befragte im Rahmen der jährlichen Forschungsstudie zur Cloud-Sicherheit und der Migration zur Cloud mehr als 1.400 IT-Experten. Dieser Bericht zeigt den Stand der Dinge bei Cloud-Sicherheit auf und bietet praktische Hinweise. Jetzt herunterladen!

Themenseiten: PHP, Security, Sicherheit, WordPress

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Schwerwiegende Sicherheitslücke macht WordPress-Websites angreifbar

Kommentar hinzufügen
  • Am 17. August 2018 um 12:33 von Andreas

    Und da soll noch mal Einer behaupten, daß nur freie, quelloffene Software langsam sei in der Fehler-Behebung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *