Zwei-Faktoren-Authentifikations-Sicherheitslücke in WordPress-Plugins

Das auf Zwei-Faktoren-Authentifikation spezialisierte Unternehmen DuoSecurity räumte zum Ende der letzten Woche die Entdeckung einer Sicherheitslücke in seinem WordPress-Plugin (duo_wordpress plugin) ein, die es einem Nutzer ermöglichen könnte, die Zwei-Faktoren Authentifikation (2FA) in einem Multisite-Netzwerk zu umgehen.

Jon Oberheide, einer der Gründer von Duo, betonte letzte Woche, dass das Problem nur die Anwender betrifft, die Multisite-WordPress-Einstellungen mit aktiviertem 2FA auf einer ihrer Sites haben. User, die das Plugin universell auf ihren Sites installieren (und es universell aktivieren), sind keinem Risiko ausgesetzt.

Wenn ein User die 2FA auf einer Site eingestellt hat, wird er nach seinen Anmeldedaten (Nutzername und Kennwort) und den Zwei-Faktoren-Informationen gefragt. Doch wenn es auf demselben Multisite-Netzwerk eine andere Site gibt, kann der Anwender von der ersten Site auf die zweite Site gehen und wird dabei nur nach den Anmeldedaten gefragt. Wenn er über diese Daten verfügt, so wird er authentifiziert und dann zurück auf die erste Site umgeleitet, ohne nach der 2FA gefragt zu werden. Die Zwei-Faktoren-Authentifizierung wird damit komplett umgangen.

Oberheide erläuterte die Auswirkungen der Sicherheitslücke letzte Woche stichpunktartig in seinem Blog, um einige Fehlinformationen aus der Welt zu schaffen, die ihm zufolge kursierten.

  • Nur WordPress “Multisite”-Installationen mit auf einzelnen Sites installierten Plugins sind betroffen.
  • Normale WordPress-Installationen oder Multisite-Installationen mit global aktiviertem Plugin sind NICHT betroffen.
  • Der Nutzer muss nach wie vor die korrekten Anmeldedaten angeben (d.h. Nutzername und Kennwort); ausschließlich der zweite Faktor wird umgangen.

Duo entdeckte die Sicherheitslücke bereits früher im Februar und gab sie intern bekannt, bevor letzte Woche eine Warnmitteilung veröffentlicht wurde. Zum gegenwärtigen Zeitpunkt betrifft die Sicherheitslücke die Version 1.8.1 des Produkts und frühere Versionen.

Oberheide schreibt, dass Duo ein Patch vorbereitet und mit WordPress zusammenarbeitet, vermutet aber, dass eine „Kernelmodifikation“ notwendig sein könnte, so dass die Plattform so mit dem Plugin arbeiten kann, dass das Problem gelöst wird.

Das Problem besteht nicht nur in den Plugins von Duo, sondern auch in denen von anderen Zwei-Faktoren-Anbietern. Oberheide und das Unternehmen erklärten, dass sie die betroffenen Anbieter informiert hätten und viele von ihnen bereits – wie Duo auch – an Patches arbeiten.

In der Zwischenzeit fordert Duo die Anwender, die duo_wordpress in ihren Multisite-Einstellungen installiert haben, auf, das Plugin global zu aktivieren und es dann für spezielle User-Rollen zu deaktivieren, bis das Problem gelöst wird. User, die ein anderes WordPress 2FA-Plugin verwenden, sollten in Erfahrung bringen, ob ihr Anwender ein Patch plant.

Quelle: threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.