Angreifer nutzen aktiv eine kritische Schwachstelle in BackupBuddy aus, einem WordPress-Plug-in, das schätzungsweise 140,000 Websites zum Sichern ihrer Installationen verwenden.
Die Sicherheitslücke ermöglicht es Angreifern, beliebige Dateien von betroffenen Websites zu lesen und herunterzuladen, einschließlich solcher, die Konfigurationsinformationen und sensible Daten wie Passwörter enthalten, die für weitere Kompromittierungen verwendet werden können.
Der WordPress-Sicherheitsanbieter Wordfence berichtete, dass er ab dem 26. August Angriffe beobachtet habe, die auf die Schwachstelle abzielten, und sagte, dass dies der Fall sei blockierte fast 5 Millionen Angriffe seit damals. Der Plug-in-Entwickler iThemes hat am 2. September, mehr als eine Woche nach Beginn der Angriffe, einen Patch für die Schwachstelle veröffentlicht. Dies erhöht die Möglichkeit, dass zumindest einige WordPress-Sites, die die Software verwenden, kompromittiert wurden, bevor eine Lösung für die Sicherheitslücke verfügbar wurde.
Ein Fehler beim Verzeichnisdurchlauf
In einer Erklärung auf seiner Website beschrieb iThemes, dass die Directory-Traversal-Schwachstelle Auswirkungen auf den Betrieb von Websites habe BackupBuddy-Versionen 8.5.8.0 bis 8.7.4.1. Benutzer des Plug-ins wurden dringend aufgefordert, sofort auf die BackupBuddy-Version 8.75 zu aktualisieren, auch wenn sie derzeit keine anfällige Version des Plug-ins verwenden.
„Diese Sicherheitslücke könnte es einem Angreifer ermöglichen, den Inhalt jeder Datei auf Ihrem Server anzuzeigen, die von Ihrer WordPress-Installation gelesen werden kann“, warnte der Plug-in-Hersteller.
Die Warnungen von iThemes lieferten Hinweise, wie Website-Betreiber feststellen können, ob ihre Website kompromittiert wurde, und welche Schritte sie unternehmen können, um die Sicherheit wiederherzustellen. Zu diesen Maßnahmen gehörten das Zurücksetzen des Datenbankpassworts und das Ändern ihres Passworts WordPress-Salzeund rotierende API-Schlüssel und andere Geheimnisse in ihrer Site-Konfigurationsdatei.
Wordfence sagte, es habe Angreifer gesehen, die die Schwachstelle nutzten, um zu versuchen, „sensible Dateien wie die Datei /wp-config.php und /etc/passwd abzurufen, die dazu verwendet werden können, ein Opfer weiter zu gefährden“.
WordPress-Plug-in-Sicherheit: Ein endemisches Problem
Der BackupBuddy-Fehler ist nur einer von Tausenden von Fehlern, die in den letzten Jahren in WordPress-Umgebungen aufgedeckt wurden – fast alle davon betrafen Plug-Ins.
In einem Bericht Anfang des Jahres sagte iThemes, es habe identifiziert insgesamt 1,628 offengelegte WordPress-Schwachstellen im Jahr 2021 – und mehr als 97 % davon betrafen Plug-Ins. Fast die Hälfte (47.1 %) wurde als hoch bis kritisch eingestuft. Und beunruhigenderweise Für 23.2 % der anfälligen Plug-ins gab es keine bekannte Lösung.
Ein kurzer Scan der National Vulnerability Database (NVD) durch Dark Reading ergab, dass allein in der ersten Septemberwoche bisher mehrere Dutzend Schwachstellen aufgedeckt wurden, die sich auf WordPress-Seiten auswirken.
Anfällige Plug-ins sind nicht die einzige Sorge für WordPress-Sites. Ein weiteres Problem sind bösartige Plug-ins. Eine groß angelegte Studie mit über 400,000 Websites, die Forscher am Georgia Institute of Technology durchgeführt haben, ergab a unglaubliche 47,337 bösartige Plug-ins auf 24,931 Websites installiert, die meisten davon noch aktiv.
Sounil Yu, CISO bei JupiterOne, sagt, dass die mit WordPress-Umgebungen verbundenen Risiken mit denen jeder Umgebung vergleichbar sind, die Plug-ins, Integrationen und Anwendungen von Drittanbietern nutzt, um die Funktionalität zu erweitern.
„Wie bei Smartphones erweitern solche Komponenten von Drittanbietern die Fähigkeiten des Kernprodukts, sind aber auch für Sicherheitsteams problematisch, da sie die Angriffsfläche des Kernprodukts deutlich vergrößern“, erklärt er und fügt hinzu, dass die Überprüfung dieser Produkte ebenfalls eine Herausforderung darstellt aufgrund ihrer schieren Anzahl und fehlender eindeutiger Herkunft.
„Sicherheitsteams haben rudimentäre Ansätze und werfen meist einen oberflächlichen Blick auf das, was ich die drei Ps nenne: Popularität, Zweck und Berechtigungen“, bemerkt Yu. „Ähnlich wie bei den von Apple und Google verwalteten App-Stores müssen die Marktplätze mehr Kontrollen durchführen, um sicherzustellen, dass bösartige [Plug-ins, Integrationen und Apps von Drittanbietern] ihren Kunden keine Probleme bereiten“, stellt er fest.
Ein weiteres Problem ist, dass während WordPress ist weit verbreitet„Oft wird es von Marketing- oder Webdesign-Experten verwaltet und nicht von IT- oder Sicherheitsexperten“, sagt Bud Broomhead, CEO bei Viakoo.
„Die Installation ist einfach und das Entfernen ist ein nachträglicher Einfall oder wird nie durchgeführt“, sagt Broomhead gegenüber Dark Reading. „So wie sich die Angriffsfläche auf IoT/OT/ICS verlagert hat, zielen Bedrohungsakteure auf Systeme ab, die nicht von der IT verwaltet werden, insbesondere solche, die weit verbreitet sind wie WordPress.“
Broomhead fügt hinzu: „Selbst wenn WordPress Warnungen zu Plug-ins ausgibt, die Schwachstellen darstellen, können andere Prioritäten als die Sicherheit die Entfernung bösartiger Plug-ins verzögern.“
