Aufgrund einer unzureichenden Absicherung der Wordpress Update Server war es Angreifern möglich fremden Schadcode einzuspielen und durch die Wordpress Update Funktion zahlreiche Wordpress Seiten zu kompromittieren. Laut Aussagen der Wordpress Entwickler wurde diese Sicherheitslücke inzwischen geschlossen.
Hintergrund der Lücke war die Verwendung einer unsicheren Hash-Verschlüsselung. Diese war zu schwach bzw. mittlerweile als unsicher deklariert und konnte schnell ausgehebelt werden. Diese Hashfunktion stellt eigentlich sicher, dass nur verfizierte Entwickler Verändungen und Neuerungen am Wordpress-Code einspielen können. Entdeckt wurde diese Schwachstelle von Wordfence: [Siehe Link]
Problematisch war zudem, dass seit Wordpress 3.7 krittische Sicherheitslücken bzw. wenn Updates als solche markiert wurden, automatisch in den Wordpress-Seiten installiert bzw. eingespielt wurden. Wenn jedoch wie im aktuellen Fall der Update-Server manipuliert werden konnte, stellt dies ein Problem dar.
Jede aktuelle Wordpress-Seite nimmt stündlich eine Verbindung zu api.wordpress.org auf, um nach Updates zu fragen. Meldet der Update-Server ein Update, stellt dieser einen Link bereit, wodurch sich die eigene Wordpress-Seite das Update unter den Link automatisch zieht und installiert (bei krittisch deklarierten Seiten). Aktuellen Zahlen der Webanalysten von W3Techs zufolge besteht das Internet zu rund 27 Prozent aus WordPress-Seiten.
Hier liegt das aktuelle Problem: die Wordpress-Seiten vertrauen dem Update Server blind. D.h. es findet keine Gegenprüfung via digitaler Signaturen statt.
Wordpress hat die Sicherheitslücke bereits Anfang September, wenige Tage nach der Meldung durch Wordfence, geschlossen. Eine Überprüfung der ausgelieferten Updates findet aber nach wie vor nicht statt.
Kommentare