Der Forscher Sam Thomas vom britischen Sicherheitsanbieter Secarma hat auf der Cybersecurity-Konferenz BSides in Manchester einen Angriff auf das WordPress PHP Framework demonstriert, der zu einer vollständigen Kompromittierung einer Website führen kann. Ermöglicht wird dies durch eine Sicherheitslücke, die seit einem Jahr ungepatcht ist.
Die eigentliche Anfälligkeit steckt dem Forscher zufolge in der Funktion “wp_get_attachment_thumb_file” in der Datei “/wpincludes/post.php”. Angreifer müssen lediglich die Kontrolle über einen Parameter im Aufruf “file_exists” erlangen. Ist darüber hinaus das Autoloading aktiv, kann Code geladen und ausgeführt werden, um das gesamte PHP-Framework zu kompromittieren.
Das zugrundeliegende Problem der Unserialisierung von Variablen ist bereits seit 2009 bekannt. Seitdem wurden mehrere derartige PHP-Schwachstellen beseitigt. “Ich habe betont, dass die Unserialisierung vielen Schwachstellen ausgesetzt ist, die bisher als recht risikoarm galten”, erklärte Thomas. “Probleme, von denen man dachten, dass sie durch eine Konfigurationsänderung behoben wurden oder die zuvor als eher geringfügig angesehen wurden, müssen im Lichte der von mir gezeigten Angriffe neu bewertet werden.”
WordPress wurde laut Secarma bereits im Februar 2017 über das Sicherheitsprämienprogramm HackerOne von der neuen Anfälligkeit informiert, für die es noch keine CVE-Kennung gibt. WordPress habe den Bug bestätigt und im Mai 2017 versucht, den Fehler zu beheben – jedoch ohne Erfolg. Danach sei die Kommunikation mit WordPress für mehrere Monate abgebrochen.
Ein Patch für die Sicherheitslücke steht also noch aus. Secarma zufolge gibt es bisher keine Hinweise darauf, dass die Schwachstelle aktiv ausgenutzt wird. Das könnte sich jedoch ändern, da die technischen Details des Bugs nun in einem Whitepaper (PDF) verfügbar sind.
Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!
IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…
Cloud-Trends 2025: Zahlreiche neue Technologien erweitern die Grenzen von Cloud Computing.
Noah Labs wollen Kardiologie-Praxen und Krankenhäuser in Deutschland durch KI-gestütztes Telemonitoring von Patienten entlasten.
Neun von zehn deutschen Managern erwarten, dass der Einsatz von KI auf ihre Nachhaltigkeitsziele einzahlen…
Intergermania Transport automatisiert die Belegerfassung mit KI und profitiert von 95 Prozent Zeitersparnis.
Cyberattacken finden in allen Branchen statt, und Geschwindigkeit und Häufigkeit der Angriffe werden weiter zunehmen,…
