Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.684.054 Produkten

Dennis Schirrmacher 40

Kardinalfehler im WordPress-Update-Server: 27 Prozent aller Webseiten sollen gefährdet gewesen sein

Kardinalfehler im WordPress-Update-Server: 27 Prozent aller Webseiten im Internet sollen gefährdet gewesen sein

Angreifer hätten den offiziellen WordPress-Server zum Ausspielen von Updates für eigene Zwecke missbrauchen können, um so unzählige Seiten zu kapern. Mittlerweile soll die Schwachstelle geschlossen sein.

Im zentralen Serversystem von WordPress (api.wordpress.org) klaffte eine schwerwiegende Schwachstelle, warnen Sicherheitsforscher von Wordfence. Angreifer hätten die Server kompromittieren können, um so per Auto-Update Schadcode an Millionen Webseiten zu verteilen. Seit Anfang September soll die Schwachstelle geschlossen sein.

Anzeige

Aktuellen Zahlen der Webanalysten von W3Techs zufolge besteht das Internet zu rund 27 Prozent aus WordPress-Seiten. Angreifer hätten demzufolge theoretisch ein Viertel aller Webseiten auf einen Streich übernehmen können.

Die automatische Aktualisierungsfunktion ist standardmäßig aktiviert und WordPress-Seiten fragen ungefähr jede Stunde die Verfügbarkeit von Updates ab. Bei einer Aktualisierung kommt zwar Transportverschlüsselung zum Einsatz, aber kein Ablgeich digitaler Signaturen.

Der schwerwiegende Fehler fand sich innerhalb der api.wordpress.org in einem PHP Webhook, über den Entwickler die Legitimität von Updates über einen Hash-Algorithmus gewährleisten können. Der Hash-Wert setzt sich dabei aus einem Geheimnis und den Daten des Updates zusammen. Das Ergebnis ist ein Keyed-Hash Message Authentication Code (HMAC), der öffentlich einsehbar ist. Auch der WordPress-Server kennt das Geheimnis (Pre Shared Key) und gleicht den HMAC ab. Stimmt dieser mit dem des Entwicklers überein, wird das Update abgenickt und zur Verteilung bereitgestellt.

Den Sicherheitsforschern zufolge hätte ein Angreifer statt des vorgegebenen einen schwachen nicht-kryptografischen Hash-Algorithmus wie adler32 einsetzen können. In diesem Fall wäre ein Angreifer durch Ausprobieren von Prüfsummen in der Lage gewesen, einen gültigen HMAC vorzutäuschen, ohne das Geheimnis zu kennen. Wordfence zufolge war das in ihren Tests innerhalb weniger Stunden möglich, ohne das bei dem Brute-Force-Angriff ein Sicherheitsmechanismus seitens WordPress angesprungen sei.

Auch wenn die Schwachstelle ausgemerzt ist, stufen die Sicherheitsforscher generell die Zentralität von api-wordpress.org als Sicherheitsrisiko ein. In dieser Sache suchen sie eigenen Angaben zufolge bereits den Dialog mit WordPress-Entwicklern, haben aber noch keine Antwort erhalten.

Zudem sehen es die Sicherheitsforscher weiterhin als problematisch ein, dass WordPress Daten global vertraut, die vom Update-Server kommen. Das Problem wird schon länger diskutiert, bislang gibt es aber noch keine Lösung.

Bei dieser Schwachstelle habe WordPress aber zügig reagiert und den Fix innerhalb von wenigen Tagen realisiert, erläutert Wordfence. (des)

40 Kommentare

Themen:

Anzeige
  1. Ransomware attackiert WordPress-Websites

    Ransomware attackiert verwundbare WordPress-Websites

    Entwickler eines Security-Plugins für WordPress warnen vor Ransomware, die über veraltete WordPress-Komponenten auf Server gelangt. Von dort aus verschlüsselt sie Websites. Regelmäßige Aktualisierungen von Plugins und Themes begrenzen die Gefahr.

  2. Captcha-Plugin für WordPress installiert Backdoor

    WordPress Captcha Plugin installiert Backdoor

    Ein Captcha-Plugin mit eingebauter Hintertür ist auf 300.000 WordPress-Seiten aktiv. Mittlerweile ist eine bereinigte Version erschienen. Das Vertrauen in den Entwickler bröckelt weiter.

  3. Jetzt patchen! Aktive Angriffe auf WordPress-Webseiten

    Jetzt patchen! Aktive Angriffe auf WordPress-Webseiten

    Wer WordPress ab Version 4.7 einsetzt, sollte zügig die aktuelle abgesicherte Version einspielen: Derzeit nutzen Angreifer zielgerichtet eine kritische Sicherheitslücke aus.

  4. WordPress 4.7.2: Entwickler verschweigen kritische Sicherheitslücke

    WordPress 4.7.2: Entwickler verschweigen kritische Sicherheitslücke

    Mit dem jüngsten Update haben die Entwickler des beliebten CMS eine kritische Lücke gestopft und das Ausmaß des Problems absichtlich verharmlost, um Anwendern mehr Zeit zum Patchen zu geben. Leidtragende dieser Strategie sind Nutzer ohne Auto-Updates.

  1. WordPress: Erste Schritte für die eigene Website

    WordPress: Erste Schritte für die eigene Website

    WordPress ist das populärste Content-Management-System der Welt. Kein Wunder: Die Software ist einfach zu bedienen, kostenlos und flexibel erweiterbar. Zahlreiche Plug-ins und Themes machen das CMS zum Alleskönner.

  2. Erpressungstrojaner und Mac-Malware: Schützen statt zahlen

    An der Tastatur

    Bislang konnten sich Mac-Nutzer relativ sicher fühlen. Inzwischen kursierte aber die erste Ransomware im Netz, die auch OS X infiziert. Sie verschlüsselt Daten und erpresst Lösegeld vom Anwender. Mac & i zeigt, wie Sie sich generell vor Malware schützen können und nennt die Hintergründe.

  3. Kryptographie in der IT - Empfehlungen zu Verschlüsselung und Verfahren

    Der Krypto-Wegweiser für Nicht-Kryptologen

    Kryptographie ist ein wichtiger Baustein moderner IT – Sicherheit, Vertraulichkeit und Privatsphäre hängen davon ab. Der folgende Krypto-Wegweiser gibt einen kompakten Überblick zu den aktuell relevanten Verfahren.

  1. Allianz-Versicherung und Autoindustrie streiten um Autodaten

    Allianz-Versicherung und Autoindustrie streiten um Autodaten

    Die Daten moderner Autos sind bei Konzernen verschiedenster Branchen begehrt. Bei Unfällen mit autonom fahrenden Autos wollen Versicherungen mithilfe Aufzeichnungen klären, wer schuld ist - Mensch oder Maschine.

  2. Test: Peugeot 308 SW BlueHDi

    Peugeot 308

    Peugeot bietet bereits erste Euro 6d-Motoren, etwa im überarbeiteten 308 SW. Wir fuhren ihn nach seiner in optischer Hinsicht zum Glück nicht weiter erwähnenswerten Modellpflege mit der Zweiliter-Diesel-Motorisierung

  3. Magie des Lichts: Die Bilder der Woche (KW3)

    Die Magie des Lichts: Die Bilder der Woche (KW3)

    Ein entspannter Kater, faszinierende Naturlandschaften und geheimnisvolle Models: Die Fotografen der Bilder der Woche haben unterschiedliche Lichtstimmungen für ihre Motive genutzt, so entstanden atmosphärische Bilder.

  4. Missing Link: Von Maschinenethik und vom Datenschatz der Therapie- und Pflegeroboter

    Missing Link: Von Maschinenethik und Datenschatz der Therapie- und Pflegeroboter

    "Wie groß wäre das Interesse an den Daten von Michael Schumacher!" Roboter in Pflege und Therapie stellen uns vor ganz neue Probleme, was die Ethik im Robotereinsatz und den Datenschutz angeht, meint der Wirtschaftsinformatiker und Ethiker Oliver Bendel.

Anzeige