WordPress-Sites per PHP-Schwachstelle angreifbar

WordPress-Seiten sind möglicherweise durch eine PHP-Schwachstelle für Remote Code-Ausführung angreifbar. Das hat ein Sicherheitsforscher herausgefunden und dokumentiert.


Anzeige

Die Angriffsmethode geht auf PHP Unserialisierungs- oder Objektinjektionsschwachstellen zurück, die erstmals 2009 dokumentiert wurden. Diese Schwachstellen könnten es einem Angreifer ermöglichen, verschiedene Arten von Angriffen durchzuführen. Dazu muss er allerdings bösartige Eingaben an die PHP-Funktion unserialize() schicken.

Serialisierung ist der Prozess der Umwandlung von Datenobjekten in einen einfachen String. Die unserialize-Funktion ermöglicht einem PHP-Programm wieder ein Objekt aus einem String zu machen.

Sam Thomas, der Sicherheitsforscher der Firma Secarma, hat die Entdeckung der unserialize-Schwachstellen in WordPress hier beschrieben. Thomas fand heraus, dass ein Angreifer Phar-Archive verwenden kann, um einen Deserialisierungsangriff auszulösen, ohne dass er die Funktion unserialize() direkt aufrufen muss.

Phar-Dateien sind ein Archivformat in PHP, in dem Metadaten in einem serialisierten Format gespeichert werden. Bei jedem Zugriff einer Dateioperation (fopen, file_exists, file_get_contents, etc.) muss die Archivdatei unserialisiert werden.

Um diese Schwachstelle aber erfolgreich ausnutzen zu können, muss ein Angreifer ein gültiges Phar-Archiv mit dem schädlichen Payload-Objekt auf das lokale Dateisystem des Ziels hochladen und die Dateioperationsfunktion über den "phar://"-Stream-Wrapper darauf zugreifen lassen. In meinen Blogs ist dieser Ansatz nicht möglich, da ich den Upload von Phar-Archivdateien nicht ermögliche. Allerdings schreibt Thomas, dass ein Angreifer diese Schwachstelle sogar mit einem modifizierten JPEG-Bild ausnutzen kann. Er hat dazu ein Phar-Archiv in ein gültiges JPEG umgewandelt, indem er seine ersten 100 Bytes änderte.

Thomas schreibt: Sobald das erstellte Thumbnail auf den Ziel-WordPress-Server hochgeladen wurde, kann der Angreifer eine andere Funktion verwenden, um die gleiche Bilddatei wie ein Phar-Archiv mit dem "phar://"-Stream-Wrapper aufzurufen und schließlich den beliebigen Code auszuführen, wenn das Programm die Metadaten deserialisiert. Allerdings ist mir nicht klar, wie das gehen kann – möglicherweise mit in der Phar-Archivdatei eingebetteten Anweisungen. Wird der Upload jeglicher Dateien durch Blog-Besucher unterbunden, dürfte diese Sicherheitslücke nicht ausnutzbar sein. Weitere Details sind diesem Artikel bei The Hacker News oder dem verlinkten Original-Artikel zu entnehmen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, WordPress abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.