WordPress 4.0.1 patcht kritischen XSS-Bug

Das Unternehmen WordPress hat die Version 4.0.1 des Content Management Systems veröffentlicht und damit eine kritische XSS-Sicherheitslücke geschlossen, die die Kommentarfelder auf Websites betrifft, auf denen dieses CMS läuft. Ein Übeltäter muss lediglich auf der Site einen Kommentar mit schädlichem JavaScript hinterlassen, das verarbeitet wird, wenn ein Nutzer die Seite besucht oder der Administrator die Kommentare auf dem Dashboard einsieht.

Am selben Tag, an dem das Update veröffentlicht wurde, postete der finnische Experte Jouko Pynnonen in der Mailingliste Full Disclosure einige Details zu diesem Bug. „Im offensichtlichsten Szenario hinterlässt der Angreifer einen Kommentar, der das JavaScript enthält, sowie einige Links, damit der Kommentar in die Moderationsschlange kommt”, schreibt Pynnonen. „Das Exploit ist dann für normale Anwender, Suchsysteme usw. nicht mehr sichtbar. Das JavaScript wird ausgeführt, wenn der Administrator auf das Dashboard geht, um die neuen Kommentare durchzusehen. In diesem Fall kann das Skript alle Operationen mit Administratorenrechten durchführen.“

Pynnonen erzählt, er und sein Kollege Klikki Oy haben ein PoC-Exploit entwickelt, mit Hilfe dessen Accounts hinzugefügt werden können, das Passwort geändert, oder – unter Verwendung des Plugin-Editors in der Administratorenkonsole – schädlicher PHP-Code auf den Server geschrieben werden kann. Es ist auch in der Lage, das eingeschleuste Skript aus der Datenbank zu löschen. „Wenn ein Angreifer mit Hilfe des Plugin-Editors neuen Code auf den Server schreibt, kann er ihn umgehend mit der nächsten AJAX-Anfrage ausführen und auf diese Weise erhält er auf Betriebssystem-Niveau Zugriff auf den Server.“, erklärt Pynnonen.

Cross-Site-Scripting ist eine ständige Bedrohung für die Sicherheit einer Website. Mit Hilfe einer XSS-Attacke kann ein Hacker Webformulare und andere HTML-Felder auf einer Seite modifizieren, um so die Kontrolle zu übernehmen. WordPress lässt beispielsweise die Verwendung von HTML-Tags in den Kommentaren zu, was Angreifern in die Hände spielen könnte. „Das ist eine sehr gefährliche Möglichkeit“, warnt Johannes Ullrich vom SANS-Institut in einer Informationsschrift. „Die Entwickler [von WordPress] haben bereits versucht, den notwendigen Schutz bereitzustellen, indem sie nur bestimmte Tags erlauben und eine Code-Überprüfung auf unsichere Attribute durchführen. Leider lässt die Umsetzung dieser Überprüfung zu wünschen übrig. Man darf nämlich nicht vergessen, dass Browser auch entstellten HTML-Code einwandfrei parsen.“

Laut Pynnonen ist die XSS-Schwachstelle in den Versionen 3.0 bis 3.9.2 enthalten und wurde vor vier Jahren eingebaut. In der Version 4.0.1 wurden noch drei weitere Bugs dieses Typs beseitigt, sowie eine CSRF (Cross-Side Request Forgery)-Schwachstelle, eine DoS-Sicherheitslücke beim Überprüfen der Passwörter, eine SSRF-Schwachstelle (serverseitiger Anfragen-Austausch) und die Möglichkeit einer Hash-Kollision, die nach den Worten der WordPress Entwickler höchst unwahrscheinlich ist, aber zu einer Kompromittierung des Anwenderaccounts führen könnte.

Zwischenzeitlich haben die Experten von Sucuri eine Infoschrift veröffentlicht, die eine XSS-Sicherheitslücke im Plug-In WP-Statistics behandelt. Der Forscher Marc-Alexandre Montpas warnt, dass ihr alle WordPress-Sites ausgesetzt sind, die die Version 8.3 oder niedriger benutzen. Mit dem Upgrade auf Version 8.3.1 des Plug-Ins wurde dieser Fehler beseitigt.

„Ein Angreifer kann Attacken der Typen Stored Cross Site Scripting (XSS) und Reflected XSS einsetzen, um den Browser des Anwenders dazu zu bringen, administrative Aktionen in seinem Namen durchzuführen“, sagt Montpas. „Unter Ausnutzung dieser Sicherheitslücke kann ein neuer Account (oder mehrere) mit Administratorenrechten erstellt werden, es kann Spam in legitime Blogeinträge geschleust werden, indem die Indizierung in den Suchsystemen verändert wird, und es können andere Aktionen innerhalb der Möglichkeiten des Admin-Paneels von WordPress durchgeführt werden.

Montpas versprach, dass Sucuri innerhalb eines Monats Details zu dieser Sicherheitslücke veröffentlichen wird, und gibt den Nutzern Zeit, das Plug-In zu aktualisieren. „Dieses Plug-In scannt einige Daten schlecht, die für die statistischen Berichte gesammelt und von den Besuchern der Site kontrolliert werden“, erklärt der Experte. „Wenn ein Angreifer schädliches Javascript in den angreifbaren Parameter einschleusen will, so wird es in der Datenbank gespeichert und so wie es ist im Admin-Paneel dargestellt, wodurch der Browser des Opfers gezwungen wird, den Task im Namen des Opfers im Hintergrundmodus auszuführen.“

Quelle:        Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.