Angreifer können aktuelle WordPress-Versionen kapern
Eine bisher unbekannte Sicherheitslücke gefährdet aktuelle WordPress-Installationen. Über die Kommentarfunktion können Angreifer Schadcode einbringen, der beim Anzeigen durch einen Admin dessen Konto und somit die Seite übernehmen kann.
- Fabian A. Scherschel
In der aktuellen WordPress-Version 4.2 klafft eine Sicherheitslücke, die es Angreifern unter bestimmten Umständen erlaubt, die Webseite über die Kommentarfunktion zu übernehmen. Ältere Versionen sind ebenfalls angreifbar. Bei der Lücke handelt es sich um Stored Cross-Site Scripting (Stored XSS), da ein Angreifer Schadcode in einen Kommentar einbettet, der vom System gespeichert und wieder angezeigt werden muss, damit der Angriff wirksam ist. Schafft es der Angreifer, dass ein Administrator den Kommentar außerhalb der Admin-Seiten anschaut, kann er dessen Account kapern.
Da die Kommentar-Ansicht im Admin-Bereich den Schadcode erfolgreich filtert, muss der Angreifer unter Umständen erst einmal einen harmlosen Kommentar posten und diesen auf der Seite veröffentlicht bekommen. Viele WordPress-Installationen sind zum Kampf gegen Spam so konfiguriert, dass der erste Kommentar eines Nutzers manuell freigeschaltet werden muss – hier würde der Schadcode auffallen. Wird der böse Kommentar angenommen und über die öffentliche Seite angezeigt, können Besucher der Seite vom Angreifer ausspioniert werden. Dabei ist vor allem die Session des WordPress-Administrators interessant. Kann der Angreifer diese übernehmen, kann er die Webseite unter seine Kontrolle bringen.
Kommentarfunktion als Achillesferse
Die Sicherheitslücke ist ähnlich gelagert wie eine, die schon seit über einem Jahr bekannt war und gerade mit Sicherheitsupdates von WordPress geschlossen wurde: Wird der Kommentar aus irgendwelchen Gründen nur unvollständig angezeigt, kann ein Angreifer Code einbringen, die vom Browser des Besuchers ausgeführt werden. Das klappt, da der gesamte Kommentar von der Validierungsfunktion von WordPress für harmlos angesehen wird, die verkürzte Darstellung auf der Kommentarseite aber durchaus gefährlich ist. Bei der älteren Lücke geschieht dies, indem unerwartete Zeichen eingefügt werden, bei der aktuellen muss der Kommentar eine Länge von 64K überschreiten, damit er in abgekürzter Form ausgegeben wird. So kann der Angreifer bösartigen Code einschießen und zur Ausführung bringen, wenn ein Nutzer die Kommentar-Seite anzeigt.
Die Entdecker der Sicherheitslücke geben an, dass mindestens WordPress 4.2, 4.1.2, 4.1.1 und 3.9.3 mit MySQL 5.1.53 und 5.5.41 angreifbar sind. In eigenen Tests konnte heise Security das Problem mit WordPress 4.1.3 und 4.2, jeweils auf MySQL 5.5.41, bestätigen. Um sich zu schützen bis ein Patch verfügbar ist, können Administratoren entweder die Kommentarfunktion ganz deaktivieren oder alle Kommentare einzeln prüfen und manuell freischalten.
[Update 22 Uhr] Inzwischen stellt WordPress die Version 4.2.1 bereit, die den Fehler beheben soll. WordPress-Installationen mit aktiviertem automatischen Update haben mittlerweile begonnen, das Update herunterzuladen und zu installieren. Auch für ältere Versionen gibt es einen Fix: 4.1.4, 4.0.3, 3.9.6, 3.8.8 und 3.7.8. Zusätzlich ist in den Versionen 4.2.1 und 4.1.4 laut Github eine Funktion vorhanden, die bei der Installation ein Datenbank-Update vornimmt und dabei verdächtige Kommentare löscht. Die Fixes für ältere Branches enthalten diesen Patch (derzeit) nicht. [/Update] (fab)