Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.734.790 Produkten

Dennis Schirrmacher 40

Kardinalfehler im WordPress-Update-Server: 27 Prozent aller Webseiten sollen gefährdet gewesen sein

Kardinalfehler im WordPress-Update-Server: 27 Prozent aller Webseiten im Internet sollen gefährdet gewesen sein

Angreifer hätten den offiziellen WordPress-Server zum Ausspielen von Updates für eigene Zwecke missbrauchen können, um so unzählige Seiten zu kapern. Mittlerweile soll die Schwachstelle geschlossen sein.

Im zentralen Serversystem von WordPress (api.wordpress.org) klaffte eine schwerwiegende Schwachstelle, warnen Sicherheitsforscher von Wordfence. Angreifer hätten die Server kompromittieren können, um so per Auto-Update Schadcode an Millionen Webseiten zu verteilen. Seit Anfang September soll die Schwachstelle geschlossen sein.

Anzeige

Aktuellen Zahlen der Webanalysten von W3Techs zufolge besteht das Internet zu rund 27 Prozent aus WordPress-Seiten. Angreifer hätten demzufolge theoretisch ein Viertel aller Webseiten auf einen Streich übernehmen können.

Die automatische Aktualisierungsfunktion ist standardmäßig aktiviert und WordPress-Seiten fragen ungefähr jede Stunde die Verfügbarkeit von Updates ab. Bei einer Aktualisierung kommt zwar Transportverschlüsselung zum Einsatz, aber kein Ablgeich digitaler Signaturen.

Der schwerwiegende Fehler fand sich innerhalb der api.wordpress.org in einem PHP Webhook, über den Entwickler die Legitimität von Updates über einen Hash-Algorithmus gewährleisten können. Der Hash-Wert setzt sich dabei aus einem Geheimnis und den Daten des Updates zusammen. Das Ergebnis ist ein Keyed-Hash Message Authentication Code (HMAC), der öffentlich einsehbar ist. Auch der WordPress-Server kennt das Geheimnis (Pre Shared Key) und gleicht den HMAC ab. Stimmt dieser mit dem des Entwicklers überein, wird das Update abgenickt und zur Verteilung bereitgestellt.

Den Sicherheitsforschern zufolge hätte ein Angreifer statt des vorgegebenen einen schwachen nicht-kryptografischen Hash-Algorithmus wie adler32 einsetzen können. In diesem Fall wäre ein Angreifer durch Ausprobieren von Prüfsummen in der Lage gewesen, einen gültigen HMAC vorzutäuschen, ohne das Geheimnis zu kennen. Wordfence zufolge war das in ihren Tests innerhalb weniger Stunden möglich, ohne das bei dem Brute-Force-Angriff ein Sicherheitsmechanismus seitens WordPress angesprungen sei.

Auch wenn die Schwachstelle ausgemerzt ist, stufen die Sicherheitsforscher generell die Zentralität von api-wordpress.org als Sicherheitsrisiko ein. In dieser Sache suchen sie eigenen Angaben zufolge bereits den Dialog mit WordPress-Entwicklern, haben aber noch keine Antwort erhalten.

Zudem sehen es die Sicherheitsforscher weiterhin als problematisch ein, dass WordPress Daten global vertraut, die vom Update-Server kommen. Das Problem wird schon länger diskutiert, bislang gibt es aber noch keine Lösung.

Bei dieser Schwachstelle habe WordPress aber zügig reagiert und den Fix innerhalb von wenigen Tagen realisiert, erläutert Wordfence. (des)

Anzeige

40 Kommentare

Themen:

Anzeige
  1. Ransomware attackiert WordPress-Websites

    Ransomware attackiert verwundbare WordPress-Websites

    Entwickler eines Security-Plugins für WordPress warnen vor Ransomware, die über veraltete WordPress-Komponenten auf Server gelangt. Von dort aus verschlüsselt sie Websites. Regelmäßige Aktualisierungen von Plugins und Themes begrenzen die Gefahr.

  2. Captcha-Plugin für WordPress installiert Backdoor

    WordPress Captcha Plugin installiert Backdoor

    Ein Captcha-Plugin mit eingebauter Hintertür ist auf 300.000 WordPress-Seiten aktiv. Mittlerweile ist eine bereinigte Version erschienen. Das Vertrauen in den Entwickler bröckelt weiter.

  3. 500 Millionen Spieler von Blizzard-Computerspielen waren über Lücke angreifbar

    500 Millionen Spieler von Blizzard-Computerspielen waren über Lücke angreifbar

    Im Blizzard Update Agent klaffte eine Sicherheitslücke, über die Angreifer Schadcode auf Computer hätten ausführen können. Eine abgesicherte Version ist erschienen.

  4. Heftige Brute-Force-Attacken auf WordPress-Seiten

    Heftige Brute-Force-Attacken auf WordPress-Seiten

    Sicherheitsforscher haben weltweit 14 Millionen Angriffe pro Stunde auf WordPress-Webseiten registriert. Die Angreifer wollen sich Zugang zu den Seiten verschaffen.

  1. WordPress: Erste Schritte für die eigene Website

    WordPress: Erste Schritte für die eigene Website

    WordPress ist das populärste Content-Management-System der Welt. Kein Wunder: Die Software ist einfach zu bedienen, kostenlos und flexibel erweiterbar. Zahlreiche Plug-ins und Themes machen das CMS zum Alleskönner.

  2. Erpressungstrojaner und Mac-Malware: Schützen statt zahlen

    An der Tastatur

    Bislang konnten sich Mac-Nutzer relativ sicher fühlen. Inzwischen kursierte aber die erste Ransomware im Netz, die auch OS X infiziert. Sie verschlüsselt Daten und erpresst Lösegeld vom Anwender. Mac & i zeigt, wie Sie sich generell vor Malware schützen können und nennt die Hintergründe.

  3. Kryptographie in der IT - Empfehlungen zu Verschlüsselung und Verfahren

    Der Krypto-Wegweiser für Nicht-Kryptologen

    Kryptographie ist ein wichtiger Baustein moderner IT – Sicherheit, Vertraulichkeit und Privatsphäre hängen davon ab. Der folgende Krypto-Wegweiser gibt einen kompakten Überblick zu den aktuell relevanten Verfahren.

  1. PCIe-SSDs Samsung 970 Evo und 970 Pro: Schreiben mit 3 GByte/s

    Samsung 970 Evo und 970 Pro: Gutes beschleunigt

    Samsung setzt noch einen drauf: Die neuen PCIe-SSDs der 970-Serie sind vor allem beim Schreiben schneller als ihre Vorgänger.

  2. Linus Torvalds explodiert: "Manche Sicherheitsleute sind verfickte Idioten"

    Linus Torvalds explodiert: "Manche Sicherheitsleute sind verfickte Idioten"

    Der Ton auf der Kernel-Mailingliste ist mal wieder eskaliert. Linux-Chef Torvalds belegte Sicherheitsleute mit deftigen Schimpfwörtern, nachdem Google-Entwickler Kees Cook versucht hatte, Sicherheitspatches bei ihm einzureichen.

Anzeige