Was Matt Barry von Wordfence da vor einiger Zeit entdeckte, betraf potenziell 27 Prozent aller Webseiten im Netz: Eine Schwachstelle in WordPress ließ Tür und Tor dafür offen, dass Hacker die Auto-Update-Funktion des Systems hätten nutzen können, um eigene Programmzeilen einzuschleusen.
Konkret ging es um den api.wordpress.org-Server, bei dem jede WordPress-Installation in relativ knappen Zeitabständen anfragt, ob die ein oder andere neue Version eines Plug-ins, Themes oder von WordPress selbst vorliegt. Als Antwort liefert der Server die relevanten Informationen, inklusive URL, von der die Updates heruntergeladen werden.
Das dem gesamten Vorfall zugrundeliegende Problem: Es gibt keine Überprüfung digitaler Signaturen, um hochgradig verifiziert festzustellen, was da genau automatisch installiert wird. Würde es ein Hacker also schaffen, die Download-URL auszutauschen, kann er auf den Datenträgern dieser Welt mit WordPress-Installation im Prinzip verteilen, was er möchte. Dieses Einfallstor ist insofern noch dramatischer, da die automatische Update-Funktion standardmäßig aktiviert ist.
Zwar gibt es eine Transportverschlüsselung, mit deren Hilfe Updates über einen Hash-Algorithmus als gültig eingestuft werden können, doch genau dieser Prozess hätte nun in der von Barry entdeckten Schwachstelle ausgenutzt werden können. Angreifer hatten die Möglichkeit, den entsprechenden Hash-Algorithmus in relativer kurzer Zeit durch einen eigenen, als gültig anerkannten zu ersetzen. Ein Brute-Force-Angriff, bei dem Zeichen solange miteinander kombiniert werden, bis die Verschlüsselung geknackt ist.
In dem Report, der von Wordfence dazu am 22.11. veröffentlicht wurde, finden sich alle Details zur Schwachstelle. Am 2. September meldete Matt Barry das Ganze bei Automattic, wo man umgehend reagierte und einen Fix einspielte. Allerdings, so wird in dem Bericht von Wordfence weiter ausgeführt, bestehe nach wie vor das Problem, dass es keinen Authentifizierungsmechanismus für den Code gebe, den api.wordpress.org verteilt. Man diskutiere darüber bereits seit einiger Zeit mit Mitgliedern des Automattic-Sicherheits-Teams. Eine zielführende Lösung gibt es noch nicht.
Euer Jens
Bildquelle Vorschau und Titel: Pixabay