WordPress-Plug-in Slimstat gefährdet Server

Das Statistik-Tool öffnet Angreifern Tür und Tor, die komplette WordPress-Seite zu übernehmen. Ausgelöst wird dies durch schlecht gemachte Verschlüsselung der Kommunikation zum Server und einer SQL-Injection-Lücke.

In Pocket speichern vorlesen Druckansicht 23 Kommentare lesen
WordPress-Plug-in Slimstat gefährdet Server

(Bild: Sucuri)

Lesezeit: 1 Min.
Von
  • Fabian A. Scherschel

Webseiten-Betreiber, die das WordPress-Plug-in WP-Slimstat verwenden, setzen ihre Server einem hohen Risiko aus. Wie die Sicherheitsfirma Sucuri berichtet, kann eine schwerwiegende LĂĽcke in dem Statistik-Add-on dazu missbraucht werden, die WordPress-Installationen betroffener Server komplett zu ĂĽbernehmen. Das Plug-In wurde bereits ĂĽber 1,3 Millionen Mal heruntergeladen.

WP-Slimstat verschlüsselt zwar den Datenverkehr zwischen Server und Client, allerdings wird der Schlüssel erstellt, in dem die Software einen MD5-Hash des Installationsdatums des Plug-ins erstellt. Mit etwas Internet-Recherche lässt sich dieses Datum für viele Webseiten ziemlich genau eingrenzen. Der genaue Zeitpunkt kann dann per Brute-Force-Angriff ermittelt werden. Bei Tests gelang Sucuri dies innerhalb von zehn Minuten auf einem handelsüblichen PC. Mit dem Schlüssel kann ein Angreifer schließlich SQL-Injection-Angriffe ausführen und so wichtige Geheimnisse aus der Datenbank der WordPress-Installation auslesen – etwa das Passwort für den Admin-Benutzer.

Um die Lücke zu stopfen empfiehlt Sucuri, so schnell wie möglich auf eine sichere Version des Plug-ins zu aktualisieren. Version 3.9.6 der Software hat die Lücke geschlossen, ältere Ausgaben von WP-Slimstat sind angreifbar. Da Plug-ins nicht vom Auto-Updater in WordPress aktualisiert werden, müssen Nutzer selbst aktiv werden und ihre Server checken. (fab)