Verärgerter Sicherheitsforscher veröffentlicht 0-days WordPress-Schwachstellen

In den letzten Tagen wurden gleich drei 0-day-Schwachstellen in WordPress-Plugins öffentlich. Offenbar hat ein verärgerter Sicherheitsforscher damit versucht, auf ungenügende Reaktionen der Verantwortlichen zu reagieren, gefährdet damit aber 160.000 WordPress-Sites.


Anzeige

In der vergangenen Woche wurden 0-day-Schwachstellen sowohl in den Plugins Yuzo Related Posts als auch in Yellow Pencil Visual Theme Customizer bekannt. Die Plugins werden bei 60.000 bzw. 30.000 Websites verwendet und durch Exploits bereits angegriffen. Beide hier genannten Plugins wurden etwa zum Zeitpunkt der Veröffentlichung der 0-day-Schwachstellen aus dem WordPress-Plugin-Repository entfernt. Betreiber von WordPress-Blogs haben daher nur die Option, die Plugins zu entfernen (ein Grund, warum ich in meinen Blogs so wenig Plugins als irgend möglich einsetze). Drei Tage nach Bekanntwerden der Schwachstelle gab Yellow Pencil einen Patch heraus.

Das Plugin Yuzo Related Posts ist dagegen bisher nicht im Plugin-Repository zurückgekehrt. Über einige dieser Schwachstellen in Plugins hatte ich hier im Blog berichtet. Und das Plugin Social Warfare (auf 70,000 Sites verwendet), wird seit 3 Wochen angegriffen. Die Entwickler dieses Plugins haben den Fehler zwar schnell gepatcht. Trotzdem wurden Websites, die es verwendet haben, bis zur Verfügbarkeit des Patches gehackt.

Arstechnica bringt in diesem Artikel nun etwas Licht in die Angelegenheit. In allen drei Fällen waren die Exploits verfügbar, nachdem eine Website namens Plugin Vulnerabilities detaillierte Informationen über die zugrunde liegenden Schwachstellen veröffentlicht hatte. Die Beiträge enthielten genügend Proof-of-Concept-Exploit-Code und andere technische Details, um es trivial zu machen, gefährdete Websites zu hacken. Tatsächlich schien ein Teil des bei den Angriffen verwendeten Codes kopiert worden zu sein.

Alle drei Beiträge zu 0-day-Schwachstellen in Plugin kamen mit dem Hinweis, dass der ungenannte Autor sie veröffentlicht, um gegen "die Moderatoren des WordPress Support Forums" zu protestieren. Der Autor sagte Ars, dass er erst dann versuchte, Entwickler zu benachrichtigen, wenn die 0-day-Schwachstellen bereits veröffentlicht waren.

"Unsere aktuelle Offenlegungsrichtlinie ist es, Schwachstellen vollständig offenzulegen und dann zu versuchen, den Entwickler über das WordPress Support-Forum zu informieren, obwohl die Moderatoren dort… zu oft einfach diese Nachrichten löschen und niemanden darüber informieren", schrieb der Autor in einer E-Mail. Also in Kurz: Der Entdecker der Sicherheitslücken ärgert sich über die Forenmoderatoren, publiziert Schwachstellen und gefährdet damit die Nutzer dieser Plugins.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, WordPress abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Verärgerter Sicherheitsforscher veröffentlicht 0-days WordPress-Schwachstellen

  1. RUTZ-AhA sagt:

    WordPress mit seinen Plugins ist schon vergleichbar mit Adobe, was Sicherheitslücken anbelangt.
    Seit zwei Jahren ist ständig etwas nicht in Ordnung mit der Software. Für Webseitenbetreiber auch nicht gerade erbaulich, immer auf der Hut sein zu müssen.

    • Günter Born sagt:

      Würde ich gerne differenzieren wollen. Adobe sind es i.d.R. Einzelprodukte mit Sicherheitslücken.
      Bei WordPress muss man zwei Dinge sehen: a) wie sicher ist der WP-Core und b) wie steht es mit den Plugins.

      Zu b) könnte man auch dieses Synonym wählen: 'Windows ist verdammt unsicher, ständig ist etwas mit installierten Windows Programmen nicht in Ordnung'. Denn die Plugins sind nichts anderes als PHP-Programme, die sich der WordPress-Schnittstellen bedienen, aus unterschiedlichen Quellen stammen und mehr oder weniger sinnvolle Zusatzfunktionen bieten. Also quasi so etwas wie Windows-Programme – wo auch immer potentielle Sicherheitslücken entdeckt werden.

      Da ich jetzt seit 2009 (also fast ein Jahrzehnt) WordPress-Blogs betreibe, ein kleiner Erfahrungsbericht. In diesen 10 Jahren haben regelmäßig WP-Updates dafür gesorgt, dass Schwachstellen zeitnah geschlossen wurden (wenn ich manchmal auch nicht immer über die innovativen Winkelzüge der WP-Entwickler glücklich war – konnte ich aber meist irgendwie reparieren). Der Core von WP ist also recht sicher.

      Kommen wir zu den Plugins. Zu Beginn meiner WP-Blogger-Tätigkeit habe ich mich in anderen Blogs geradezu 'besoffen gelesen', was es für tolle Plugins gäbe, was man unbedingt einzusetzen habe und weiteren Schmonsens. Bin so ein Mensch, der überfliegt den Text, 'oh, interessant, muss Du dich später mit befassen', hebt sich den Link auf und geht das später mal intensiver durch. Im Laufe der Zeit sind mir mehrere Sachen aufgefallen:

      1. Viele der vorgestellten Plugins waren nach ein oder zwei Jahren wieder verschwunden.
      2. Viele der von mir angesehenen und sogar getesteten Plugins waren ein Schuss in den Ofen.
      3. Und als Blogger berichte ich hier immer wieder über Sicherheitslücken in Plugins.

      Ich habe mir seit Beginn (auch auf Grund meiner obigen Erkenntnisse) angewöhnt, mit minimalem Plugin-Einsatz zu arbeiten. Anti-Spam-Plugin, WordFence als Sicherheitslösung & Firewall sowie ein für Prüfungen aktivierbarer Malware-Scanner sind Pflicht. Und auch eine Lösung, um ein Login an Admin-Konten durch unbefugte Dritte zu verhindern.

      Hinzu kommen Plugins, um Werbeanzeigen zu verwalten, ein Broken-Link-Checker, was für die WP GPDR und EU-Cookie-Richtlinie, der Classic Editor für WordPress, ein Plugin für die Kommentar-Editiereung, was zum SSL-fixen, ein Redirector, ein Cache-Modul, was für Twitter-Posts und eine interne Statistik.

      Das war es. Bin bisher gut damit gefahren – das Zeugs wird aktualisiert und WordFence sagt mir, wenn es ein Problem gibt (bisher nur Fehlalarme). Einige wenige Plugins sind über die letzten 10 Jahre rausgefallen, da nicht mehr supported. Mit dieser Plugin-Sammlung ist mir ad hoc nicht erinnerlich, dass eines dieser Module ein ausgenutzte Sicherheitslücke hatte. Es geht also – das ganze Social Media Zeugs für Facebook & Co. brauche ich nicht (lediglich meine Twitter-Timeline wird vom Blog automatisch befüllt).

  2. H.V. sagt:

    Das sind wir doch alle gewohnt, daran hat und wird sich nichts ändern… Safe gibt's doch nur bei Kondomen – solange die nicht reissen… ;)

    Also, nix für ungut … :)

  3. Roland Moser sagt:

    Aus meiner Sicht sind die WordPress-Moderatoren das Problem und nicht der Autor bzw. der Forscher.

Schreibe einen Kommentar zu RUTZ-AhA Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.