News

WordPress-Seiten hätten via Auto-Update angegriffen werden können

WordPress-Seiten hätten via Auto-Update angegriffen werden können
Die Lücke wurde schnell geschlossen

Was Matt Barry von Wordfence da vor einiger Zeit entdeckte, betraf potenziell 27 Prozent aller Webseiten im Netz: Eine Schwachstelle in WordPress ließ Tür und Tor dafür offen, dass Hacker die Auto-Update-Funktion des Systems hätten nutzen können, um eigene Programmzeilen einzuschleusen.

Konkret ging es um den api.wordpress.org-Server, bei dem jede WordPress-Installation in relativ knappen Zeitabständen anfragt, ob die ein oder andere neue Version eines Plug-ins, Themes oder von WordPress selbst vorliegt. Als Antwort liefert der Server die relevanten Informationen, inklusive URL, von der die Updates heruntergeladen werden.

Das dem gesamten Vorfall zugrundeliegende Problem: Es gibt keine Überprüfung digitaler Signaturen, um hochgradig verifiziert festzustellen, was da genau automatisch installiert wird. Würde es ein Hacker also schaffen, die Download-URL auszutauschen, kann er auf den Datenträgern dieser Welt mit WordPress-Installation im Prinzip verteilen, was er möchte. Dieses Einfallstor ist insofern noch dramatischer, da die automatische Update-Funktion standardmäßig aktiviert ist.

Zwar gibt es eine Transportverschlüsselung, mit deren Hilfe Updates über einen Hash-Algorithmus als gültig eingestuft werden können, doch genau dieser Prozess hätte nun in der von Barry entdeckten Schwachstelle ausgenutzt werden können. Angreifer hatten die Möglichkeit, den entsprechenden Hash-Algorithmus in relativer kurzer Zeit durch einen eigenen, als gültig anerkannten zu ersetzen. Ein Brute-Force-Angriff, bei dem Zeichen solange miteinander kombiniert werden, bis die Verschlüsselung geknackt ist.

In dem Report, der von Wordfence dazu am 22.11. veröffentlicht wurde, finden sich alle Details zur Schwachstelle. Am 2. September meldete Matt Barry das Ganze bei Automattic, wo man umgehend reagierte und einen Fix einspielte. Allerdings, so wird in dem Bericht von Wordfence weiter ausgeführt, bestehe nach wie vor das Problem, dass es keinen Authentifizierungsmechanismus für den Code gebe, den api.wordpress.org verteilt. Man diskutiere darüber bereits seit einiger Zeit mit Mitgliedern des Automattic-Sicherheits-Teams. Eine zielführende Lösung gibt es noch nicht.
 
Euer Jens

Bildquelle Vorschau und Titel: Pixabay

Was sagst du dazu?

Teile deine Meinung oder Erfahrung mit anderen Mitgliedern und sichere dir jeweils 5 Punkte!

Weiter zu den Kommentaren

Ähnliche Artikel

Adobe-Updates für Photoshop, Lightroom und Co.

Adobe-Updates für Photoshop, Lightroom und Co.

Adobe hat Updates für die Anwendungen der Creative Cloud veröffentlicht. Werfen wir einen Blick auf die Neuerungen, die sich u. a. für...

Weiterlesen

Nik Collection 3 by DxO: Webinar zu den Neuerungen

Nik Collection 3 by DxO: Webinar zu den Neuerungen

In der ersten Juniwoche erschien Version 3 der Nik Collection by DxO. Welche Neuerungen euch erwarten und was sie euch bringen, könnt ihr...

Weiterlesen

Neues zu Luminar: Update 4.2, neues Buch und Video-Trainings

Neues zu Luminar: Update 4.2, neues Buch und Video-Trainings

Es gibt interessante Neuigkeiten zu Luminar. Heute wurde das neue Update 4.2 angekündigt und passend für den perfekten Einstieg in...

Weiterlesen

Kommentare
Achtung: Du kannst den Inhalt erst nach dem Login kommentieren.
x
×
×