News

Zwei-Faktoren-Authentifikations-Sicherheitslücke in WordPress-Plugins

Das auf Zwei-Faktoren-Authentifikation spezialisierte Unternehmen DuoSecurity räumte zum Ende der letzten Woche die Entdeckung einer Sicherheitslücke in seinem WordPress-Plugin (duo_wordpress plugin) ein, die es einem Nutzer ermöglichen könnte, die Zwei-Faktoren Authentifikation (2FA) in einem Multisite-Netzwerk zu umgehen.

Jon Oberheide, einer der Gründer von Duo, betonte letzte Woche, dass das Problem nur die Anwender betrifft, die Multisite-WordPress-Einstellungen mit aktiviertem 2FA auf einer ihrer Sites haben. User, die das Plugin universell auf ihren Sites installieren (und es universell aktivieren), sind keinem Risiko ausgesetzt.

Wenn ein User die 2FA auf einer Site eingestellt hat, wird er nach seinen Anmeldedaten (Nutzername und Kennwort) und den Zwei-Faktoren-Informationen gefragt. Doch wenn es auf demselben Multisite-Netzwerk eine andere Site gibt, kann der Anwender von der ersten Site auf die zweite Site gehen und wird dabei nur nach den Anmeldedaten gefragt. Wenn er über diese Daten verfügt, so wird er authentifiziert und dann zurück auf die erste Site umgeleitet, ohne nach der 2FA gefragt zu werden. Die Zwei-Faktoren-Authentifizierung wird damit komplett umgangen.

Oberheide erläuterte die Auswirkungen der Sicherheitslücke letzte Woche stichpunktartig in seinem Blog, um einige Fehlinformationen aus der Welt zu schaffen, die ihm zufolge kursierten.

  • Nur WordPress “Multisite”-Installationen mit auf einzelnen Sites installierten Plugins sind betroffen.
  • Normale WordPress-Installationen oder Multisite-Installationen mit global aktiviertem Plugin sind NICHT betroffen.
  • Der Nutzer muss nach wie vor die korrekten Anmeldedaten angeben (d.h. Nutzername und Kennwort); ausschließlich der zweite Faktor wird umgangen.

Duo entdeckte die Sicherheitslücke bereits früher im Februar und gab sie intern bekannt, bevor letzte Woche eine Warnmitteilung veröffentlicht wurde. Zum gegenwärtigen Zeitpunkt betrifft die Sicherheitslücke die Version 1.8.1 des Produkts und frühere Versionen.

Oberheide schreibt, dass Duo ein Patch vorbereitet und mit WordPress zusammenarbeitet, vermutet aber, dass eine „Kernelmodifikation“ notwendig sein könnte, so dass die Plattform so mit dem Plugin arbeiten kann, dass das Problem gelöst wird.

Das Problem besteht nicht nur in den Plugins von Duo, sondern auch in denen von anderen Zwei-Faktoren-Anbietern. Oberheide und das Unternehmen erklärten, dass sie die betroffenen Anbieter informiert hätten und viele von ihnen bereits – wie Duo auch – an Patches arbeiten.

In der Zwischenzeit fordert Duo die Anwender, die duo_wordpress in ihren Multisite-Einstellungen installiert haben, auf, das Plugin global zu aktivieren und es dann für spezielle User-Rollen zu deaktivieren, bis das Problem gelöst wird. User, die ein anderes WordPress 2FA-Plugin verwenden, sollten in Erfahrung bringen, ob ihr Anwender ein Patch plant.

Quelle: threatpost

Zwei-Faktoren-Authentifikations-Sicherheitslücke in WordPress-Plugins

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach