WordPress verteilt Zwangs-Update für unsicheres Plug-in

Das WordPress-Team hat eine weniger bekannte interne Funktion des Content-Management-Systems benutzt, um ein Zwangsupdate für ein beliebtes WordPress-Plug-in zu verteilen. Betroffen sind Websites, die das Plug-in Loginizer benutzen. Sie haben auch ohne Zustimmung ihrer Betreiber die neue Version 1.6.4 erhalten.

Loginizer gehört mit mehr als einer Million Installationen zu einem der am weitesten verbreiteten WordPress-Plug-ins. Es stellt zusätzliche Sicherheitsfunktionen für die Anmeldeseite zur Verfügung. Unter anderem ist es möglich, IP-Adressen per Blacklist oder Whitelist zu verwalten oder eine Zwei-Faktor-Authentifizierung bereitzustellen.

Die jetzt geschlossene Sicherheitslücke wurde vom Forscher Slavco Mihajloski entdeckt. Sie steckt in einer Funktion, die vor Brute-Force-Angriffen schützen soll und ab Werk bei allen Installationen des Plug-ins aktiviert ist. Ein Angreifer muss lediglich einen speziell gestalteten Nutzernamen eingeben, der SQL-Statements enthält.

Der gescheiterte Anmeldeversuch wird anschließend von Loginizer aufgezeichnet und zusammen mit dem speziell gestalteten Nutzernamen in einer WordPress-Datenbank abgelegt. Dabei bleiben die SQL-Statements intakt, was es Unbefugten erlaubt, im Rahmen eines SQL-Injections-Angriffs Code gegen die WordPress-Datenbank auszuführen.

Laut Ryan Dewhurst, Gründer und CEO von WPScan, einer Datenbank für Anfälligkeiten in WordPress, kann ein Angreifer auf diese Art ohne Eingabe gültiger Anmeldedaten eine WordPress-Website vollständig kompromittieren. Er verwies zudem auf den detaillierten Blogeintrag von Mihajloski, der auch ein Proof-of-Concept-Skript für die Schwachstelle enthält. „Das versetzt jeden mit grundlegenden Kenntnissen von Befehlszeilenprogrammen eine WordPress-Website vollständig zu übernehmen.“

Aufgrund des Schweregrads der Anfälligkeit entschloss sich das WordPress-Team, das Update auf Loginizer 1.6.4 ohne Zustimmung von Nutzern auszurollen. Dewhurst zufolge ist die dafür benötigte Funktion seit Version 3.7, also seit 2013, in WordPress enthalten. Ihm seien insgesamt nur zwei Fälle bekannt, in denen Plug-in-Updates zwangsweise verteilt wurden.

Laut Samuel Wood, Core Developer für WordPress, wurde die Funktion jedoch schon mehrfach eingesetzt. Details wollte er allerdings nicht nennen. Ein Grund dafür dürfte sein, dass auch der jüngste Vorfall zumindest einige Nutzer verärgerte. Kommentaren im offiziellen WordPress-Forum zufolge war ihnen nicht bekannt, dass Plug-ins auch bei abgeschalteter Updatefunktion ohne ihr Zutun aktualisiert werden können.

ANZEIGE

So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends

Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Aukey-Webcam PC-LM1E mit 1080P ausprobiert

Mit der PC-LM1E bietet Aukey eine USB-Webcam mit einer Auflösung von maximal 1080P. Die Übertragungsrate…

14 Stunden ago

GitHub schließt von Google entdeckte Zero-Day-Lücke

Die Microsoft-Tochter verpasst die Frist von 90 Tagen sowie die von Google gewährte Verlängerung von…

14 Stunden ago

Apples Head of Global Security wegen Bestechung angeklagt

Er soll Polizeibeamten eine Spende über 200 iPads als Gegenleistung für eine Waffenlizenz geboten haben.…

16 Stunden ago

VMware warnt vor kritischer Zero-Day-Lücke in Workspace One

Sie ermöglicht eine Code-Ausführung außerhalb der virtuellen Umgebung. Ein Angreifer benötigt allerdings gültige Anmeldedaten. VMware…

18 Stunden ago

Malware verwandelt gehackte WordPress-Websites in betrügerische Online-Shops

Cyberkriminelle kapern die Websites per Brute Force. Anschließend schleusen sie Schadcode ein, der schließlich statt…

20 Stunden ago

Kontoübername mit einem Klick: TikTok schließt schwerwiegende Sicherheitslücke

Ein unabhängiger Sicherheitsforscher kombiniert zwei Fehler zu einem Exploit. Betroffen ist die TikTok-Website. Der Forscher…

21 Stunden ago