Kritische Sicherheitslücke in Wordpress-Addon Timthumb

Durch einen fehlerhaften Whitelist-Abgleich können Angreifer beliebigen PHP-Code auf dem Server ausführen und den Wordpress-Blog manipulieren.

In Pocket speichern vorlesen Druckansicht 12 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Ronald Eikenberg

Durch eine kritische Lücke in der Wordpress-Erweiterung Timthumb können Angreifer schlimmstenfalls die Kontrolle über den Server übernehmen, wie der Blogger Mark Maunder berichtet. Timthumb ist ein quelloffenes PHP-Script zur Größenänderung von Bildern, das von zahlreichen Wordpress-Themes genutzt wird. Das Script verarbeitet auch Bilder von externen Domains, die man zuvor in einer Whitelist festlegen muss. Allerdings prüft das Script lediglich, ob eine erlaubte Domain in der URL enthalten ist – nicht jedoch, an welcher Stelle die Domain steht.

Ruft ein Angreifer das Script mit dem URL-Parameter http://flickr.com.evilhackersite.tld/evilscript.php auf, führt dies zu einem Whitelist-Treffer für die vertrauenswürdige Domain flickr.com. Tatsächlich lädt das Script aber die PHP-Datei evilscript.php vom Server evilhackersite.tld in sein öffentlich erreichbares Cache-Verzeichnis. Von dort aus kann die eingeschleuste PHP-Datei nun jedermann starten. Handelt es sich bei dem Script um eine Remote Shell kann ein Angreifer auf diesem Weg die Kontrolle über den Server gewinnen. Auch die Manipulation des Blogs ist möglich.

Maunder berichtet aus erster Hand, denn sein Blog wurde selbst auf diese Weise gehackt. Die Angreifer haben die Remote Shell "Alucar Shell" auf seinem Server ausgeführt und darüber Werbeanzeigen in den Blog injiziert. Auch das Wordpress-Blog einer der beiden Timthumb-Projektleiter wurde angegriffen. Der Entwickler BinaryMoon fühlt sich von der Community allein gelassen: "Ich habe mehrfach bei Twitter um Hilfe bei der Absicherung des Scripts gebeten. Ich bin (offensichtlich) kein Experte auf diesem Gebiet und weiß daher jede Hilfe zu schätzen." erklärt er auf der Projektseite.

In der SVN-Version des Script (direkter Download) wurde die Sicherheitslücke inzwischen geschlossen. Allerdings sind bei der Untersuchung der Lücke andere Sicherheitsprobleme ans Tageslicht gekommen, die weitere Nacharbeit erfordern – etwa dass Timthumb Dateien im Wurzelverzeichnis von Wordpress abspeichert und die Option ALLOW_EXTERNAL nicht wie erwartet externe Dateitransfers blockiert. (rei)