Kritische Sicherheitslücke in WordPress seit sieben Monaten nicht geschlossen – echt jetzt?
Seit einigen Tagen geistern Berichte durchs Netz, dass eine kritische Sicherheitslücke in WordPress zwar bereits seit sieben Monaten bekannt ist, bis jetzt aber noch nicht geschlossen wurde. Betroffen sind alle Versionen von WordPress.
Am 26. Juni hat der Anbieter von Sicherheits-Analysesoftware RIPS Technologies in seinem Blog einen Artikel veröffentlicht, der seither von mehreren Medien aufgegriffen worden ist. Es geht dabei um eine gravierende Lücke in der #sicherheit von WordPress. Betroffen sind sämtliche Versionen bis zur aktuellen #wpversion 4.9.6.
In dem Artikel geht es darum, dass die Lücke vor sieben Monaten entdeckt und an WordPress gemeldet worden ist. Da die Sicherheitslücke bisher nicht geschlossen worden ist, hat man sich bei RIPS dazu entschlossen, den Fall nun öffentlich zu machen.
Mehrere Medien haben das Thema gleich aufgegriffen und von der Lücke berichtet. Wie groß ist das Risiko tatsächlich? Warum reagiert mein bei WordPress anscheinend nicht?
Dankenswerterweise wird das Problem gut beschrieben, sodass sich die Gefahr leicht nachvollziehen und das Risiko gut einschätzen lässt.
Konkret geht es um eine tatsächlich kleine Sicherheitslücke mit großer Auswirkung. Beim Löschen einer Mediendatei wurde eine simple nochmalige Überprüfung der zu löschenden Datei meiner Meinung nach schlicht und einfach vergessen, da niemand an dieses Risiko gedacht hat.
Das mögliche Angriffsszenario ist nicht ganz trivial und erfordert einen gewissen Aufwand. Aufgrund der fehlenden Überprüfung kann im Zuge des Löschens einer Datei aus der #mediathek mittels eines manipulierten JavaScript-Codes jede beliebige Datei am Server gelöscht werden. Somit lässt sich auch eine von WordPress benötigte Programmdatei löschen und WordPress komplett lahmlegen.
Der Schaden, der damit angerichtet werden kann, ist demnach tatsächlich ziemlich groß. Warum hat man bei WordPress das Problem also bisher anscheinend ignoriert?
Der Grund liegt wohl darin, dass ein solcher Angriff nur dann möglich ist, wenn der Angreifer mit Administrationsrechten im WordPress Backend eingeloggt ist.
Gefahr im Verzug besteht also ausschließlich dann wenn es mehrere Admins für ein Blog gibt und einer der Admins das Blog sabotieren möchte oder wenn ein Bösewicht an die Zugangsdaten eines Admins gelangt ist.
Das Gefahrenpotenzial ist also durchaus real, das tatsächliche Risiko aber aus meiner Sicht vernachlässigbar.
Entweder hat man sich mit einem anderen Admin angelegt und der ist einem jetzt nicht mehr ganz so wohlgesonnen. Dann ist der Schuldige wohl schnell gefunden. Aber in so einem Fall wäre es ohnehin grob fahrlässig, dem Betreffenden nicht sofort die Admin-Rechte zu entziehen.
Oder man hat in Bezug auf die Sicherheit des eigenen Blogs sowieso schon ganz massiv geschlampt. Andernfalls kann es kaum sein, dass ein Dritter die Zugangsdaten eines Admin-Users hat. Dann hätte man sowieso ein großes Problem.
In Wahrheit also eher ein Sturm im Wasserglas als eine echte Bedrohung und mit Sicherheit kein Grund zur Panik.