SQL-Injection-Lücke: über eine Million WordPress-Sites bedroht

Der Sicherheitsfirma Sucuri zufolge befindet sich die Schwachstelle in dem Analytics-Plug-in Slimstat 3.9.5 oder früher. Angreifer können die Lücke ausnutzen, um die Kontrolle über eine Website zu übernehmen.

Die Sicherheitslücke, von der mehr als eine Million Websites betroffen sind, die das Content-Management-System WordPress nutzen, steckt in dem Analytics-Plug-in Slimstat. Sie ermöglicht Angreifern, die Kontrolle über eine anfällige Site zu übernehmen, wie Marc-Alexandre Montpas von der Sicherheitsfirma Sucuri jetzt hingewiesen hat. Montpas spricht in einem Advisory von einer „sehr gefährlichen“ Schwachstelle, die sich in den Slimstat-Versionen 3.9.5 oder früher findet.

(Bild: WordPress)

Mit der Hilfe dieser Schwachstelle könnten Angreifer den „geheimen“ Schlüssel des Plug-ins knacken, eine SQL Injection durchführen und somit die Zielseite übernehmen. Mit Version 3.9.6 der WordPress-Erweiterung wurde die Lücke geschlossen.

Slimstat nutzt den Schlüssel, um Daten zu signieren, die von einem oder an einen Computer gesendet werden, der die Seite besucht. Sucuri zufolge lässt sich dieser aber sehr leicht erraten, weil es sich dabei nur um eine gehashte Version des Zeitstempels zur Installation des Plug-ins handelt. Durch Verwendung einer Website wie Internet Archive könne der mögliche Schlüssel auf Basis des Startjahrs der Site eingegrenzt werden. Dadurch blieben nur noch rund 30 Millionen Werte übrig, die sich mit modernen Computersystemen innerhalb von zehn Minuten durchtesten ließen.

Hat der Angreifer den richtigen Schlüssel gefunden, kann er mit seiner Hilfe eine SQL Injection durchführen, also eigene Datenbankbefehle einschleusen. Auf diese Weise ist er in der Lage, vertrauliche Daten wie Benutzernamen oder gehashte Passwörter auszuspähen und sich Zugang zu WordPress Secret Keys zu verschaffen, um die vollständige Kontrolle über die Site zu übernehmen.

Bei Slimstat handelt es sich um ein Analytics-Tool, das ein Echtzeit-Aktivitätsprotokoll der Website, Heatmaps, E-Mail-Berichte, Datenexport, Plattform- und Browsererkennung sowie IP-Geolokalisierung umfasst. Die kostenlose Basisversion steht in mehreren Sprachen zur Verfügung und lässt sich um kostenpflichtige Funktionen erweitern.

In WP Slimstat steckt eine Sicherheitslücke, die mit der jüngsten Version 3.9.6 behoben wurde (Bild: Slimstat).

In WP Slimstat steckt eine Sicherheitslücke, die mit der jüngsten Version 3.9.6 behoben wurde (Bild: Slimstat).

Slimstat wurde laut WordPress‘ Plug-in-Bibliothek insgesamt mehr als 1,3 Millionen Mal heruntergeladen. Wer es auf seiner Website einsetzt, sollte sicherstellen, dass sein CMS auf dem neuesten Stand und die jüngste Version des Plug-ins installiert ist.

Einer Statistik zufolge kommt WordPress auf 23,4 Prozent der 10 Millionen meistbesuchten Websites zum Einsatz – darunter auch ZDNet.de. Wie viele Slimstat nicht nur heruntergeladen haben, sondern auch einsetzen, ist unbekannt.

Ähnliche Probleme bereitete Anfang Februar die WordPress-Erweiterung Fancybox, die zur verbesserten Darstellung von Bildern dient. Sie wies eine Zero-Day-Lücke auf, die es Angreifern ebenfalls ermöglichte, beliebigen Code auf der Website auszuführen.

[mit Material von Björn Greif, ZDNet.de]

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Noch keine Kommentare zu SQL-Injection-Lücke: über eine Million WordPress-Sites bedroht

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *