Sicherheitslücken-Datenbank WPScan – das neue Nachschlagewerk zur Sicherheit von WordPress

Die Popularität des Content Management Systems WordPress (derzeit entfallen auf WordPress 44% des CMS-Marktes) ist ebenso groß wie die Zahl der Sicherheitslücken in dieser offenen Plattform, in ihren Plug-Ins und Themen. Es ist durchaus möglich, dass die Unzuverlässigkeit eines verwendeten Plug-Ins oder sogar eine neue verheerende Sicherheitslücke im Kernel von WordPress, durch die Websites Angriffen ausgesetzt werden könnten, zu einer unangenehmen Überraschung für Entwickler werden. Auf der im September abgehaltenen BruCon-Konferenz in Belgien gab der britische IT-Sicherheitsexperte Ryan Dewhurst den Launch der WPScan Vulnerability Database bekannt – einer einheitlichen Datenbank der neusten Sicherheitslücken in WordPress, in den dazugehörigen Plug-Ins und Themen. Der Autor des Projekts hofft, dass diese Datenbank zu einer unentbehrliche Informationsquelle für PEN-Tester, Administratoren und Entwickler für WordPress-Produkte wird.

Dewhurst sagte Threatpost, dass die Idee zum Aufbau einer solchen Datenbank mit dem Erscheinen von WPScan geboren wurde, einem Sicherheitslücken-Scanner in WordPress, den er im Jahr 2011 in Ruby geschrieben hat. Nach Angaben des Experten füllte dieser Scanner eine Nische aus, da es zu diesem Zeitpunkt noch keine Werkzeuge zur automatisierten Suche nach Sicherheitsproblemen im Kontext der Plattform gab. Kürzlich wurde WPScan auf die Version 2.5 aktualisiert, die dem Autor zufolge Bugs im Hintergrundmodus sucht und die gefundenen Ergebnisse anzeigt.

Die Arbeit an der Sicherheitslücken-Datenbank begann ungefähr zu der Zeit, als WPScan erschien. Dewhurst versäumte es nicht zu erwähnen, dass der von der BruCon gegründete Fond 5by5 einen wesentlichen Beitrag zur Beschleunigung des Entwicklungsprozesses geleistet habe, der 5.000 Pfund Sterling (etwa 6.300 Euro) für die Entwicklung der neuen Datenbank bereitgestellt hat. „Sobald WPScan die WordPress-Version und auch die Plug-Ins und Themen, die auf dem WordPress-Blog installiert sind, identifiziert hat, bereitet es uns keinerlei Mühe mehr, alle mit dieser Version, diesem Plug-In oder diesem Thema assoziierten Sicherheitslücken herauszufinden, wenn sie in unserer Datenbank gespeichert sind”, erklärt der Autor des Projekts.

Zunächst wurden die Informationen manuell von einem der vier Mitglieder des WPScan-Teams in die Datenbank (eigentlich sind es derer drei: jeweils nach dem Hauptcode, den Plug-Ins und den Themen) eingegeben. Einer von ihnen editierte die XML-Dateien und platzierte sie in einem speziellen Github-Repository. Zum gegenwärtigen Zeitpunkt werden die Informationen laut Dewhurst über ein Web-Interface eingegeben, sobald sie von verschiedenen Quellen eingehen, unter anderem von Mailinglisten, Mitwirkenden des Projekts oder nicht daran beteiligten Sicherheitsexperten.

„Mit der neuen Datenbank sind wir auch in der Lage, die Sicherheitslücken schneller zu durchschauen, da wir sie, wenn gewünscht, von einem höheren Level aus betrachten können“, kommentiert Dewhurst. „Und auch die Qualität der Einträge ist besser geworden.“ Eine solche Datenbank kann zu einer wertvollen Informationsquelle über WordPress-Sicherheitslücken werden, die alle an einem Ort konzentriert sind.

„Ich glaube, die potentielle Zielgruppe ist groß genug, und ich hoffe, dass unsere Datenbank besonders für IT-Sicherheitsexperten von Nutzen sein wird, die auf PEN-Tests spezialisiert sind“, fährt der Autor der Datenbank fort. „Stoßen sie im Laufe des Audits beispielsweise auf ein konkretes Plug-In, so können sie schnell überprüfen, ob wir über Informationen über in diesem Plug-In vorhandene Sicherheitslücken verfügen. Das ist sogar über unsere API möglich.“

Dewhurst gab der Hoffnung Ausdruck, dass auch Website-Administratoren das zentralisierte Nachschlagewerk schätzen lernen werden, die damit die Sicherheit ihrer auf WordPress basierenden Plattformen überprüfen könnten, sowie auch die verwendeten Plug-Ins und Themen. Den Entwicklern von WordPress-Produkten eröffnet die WPScan-Datenbank ebenfalls ganz neue Möglichkeiten.

„Ich wünsche mir, dass die Nutzung unserer API es einigen Entwicklern möglich macht, für die Nutzer eine neue Zugriffsmethode auf die Daten zu entwickeln, beispielsweise über ein spezielles WordPress-Modul, das den Anwender warnt, wenn er ein angreifbares Plug-In oder Thema gestartet hat“, š–malt sich der Experte aus. „Selbstverständlich setzt jegliche kommerzielle Verwendung unserer Daten den Erwerb einer Lizenz voraus. Für diejenigen, die unsere Informationen in ihren Open-Source-Produkten verwenden möchten, werden sie kostenlos zur Verfügung gestellt.“

Laut Dewhurst könne die zentralisierte Datenbank einige positive Veränderungen im Ökosystem von WordPress bewirken. „Ich hoffe, dass unser Projekt dazu beiträgt, dass die Nutzer von WordPress ein größeres Bewusstsein für Sicherheitsprobleme entwickeln, die für veraltete Versionen dieser Plattform und deren Plug-Ins und Themen charakteristisch sind“, schließt Dewhurst. „Und hoffentlich führt das wiederum zu einer höheren Sicherheit von selbst gehosteten WordPress-Blogs. Möglicherweise ergreift auch das WordPress-Team selbst Maßnahmen, um zu verhindern, dass Entwickler von Themen und Plug-Ins angreifbaren Code verbreiten. Vorstellbar wäre beispielsweise die automatisierte Durchführung einer statischen Analyse neuer Plug-Ins und Themen vor deren Veröffentlichung. Das ist natürlich keine ideale Lösung, doch es könnte durchaus funktionieren.“

Quelle:        Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.