Ein WordPress-Plugin namens "ThemeGrill Demo Importer" stellte Hackern 200.000 Websites zur Verfügung

WordPress ThemeGrill Plugin Vulnerability

Content Management Systeme (CMS) wie WordPress haben den Prozess der Erstellung und Pflege einer Website grundlegend verändert. Im Moment kann das Erstellen einer Website so einfach sein wie das Einrichten einer WordPress-Installation und das Hinzufügen von Inhalten. Die Leute, die früher ganze Websites von Grund auf neu geschrieben haben, erstellen jetzt CMS-Themen und Plugins, mit denen Sie Ihre eigene Website mit nur wenigen Mausklicks optimieren und anpassen können. Es ist viel bequemer und vor allem viel billiger als früher. Es gibt jedoch einen Kompromiss.

Die Leute, die Themen und Plugins für Plattformen wie WordPress schreiben, machen hin und wieder Fehler, und wenn sie dies tun, betreffen die Fehler nicht nur eine Website. Ein einzelner Fehler kann Probleme für Tausende von Websites verursachen. Wenn das Problem sicherheitsrelevant ist, können die Folgen ziemlich verheerend sein. Eine kürzlich entdeckte Sicherheitslücke im ThemeGrill Demo Importer-Plugin für WordPress hat uns gezeigt, wie schlimm die Dinge sein können.

ThemeGrill hat einen Fehler hinterlassen, durch den Hacker ganze Websites löschen konnten

ThemeGrill entwickelt Premium-Themes für WordPress und bietet außerdem ein Plugin namens ThemeGrill Demo Importer, mit dem Administratoren Themes und Einstellungen einfach direkt auf ihre Websites importieren können. Wenn Sie eine WordPress-basierte Website haben und ThemeGrill Demo Importer verwenden, müssen Sie sicherstellen, dass das Plugin auf die neueste Version aktualisiert wird. Forscher von WebARX stellten fest , dass alle Inkarnationen des Plugins zwischen ThemeGrill Demo Importer 1.3.4 und ThemeGrill Demo Importer 1.6.1 von einer kritischen Sicherheitslücke betroffen sind, durch die Hacker Chaos anrichten können.

Das Problem liegt in einer Funktion namens reset_wizard_actions, die geladen wird, wenn das Plugin ein aktives ThemeGrill-Theme erkennt. Die Funktion ist mit admin_init verbunden, das normalerweise nur in einer Admin-Umgebung ausgeführt wird. Es kann jedoch auch /wp-admin/admin-ajax.php aufrufen, und die Forscher stellten fest, dass reset_wizard_actions bei der Interaktion mit dieser Datei nicht überprüft, ob ein Benutzer authentifiziert ist.

Mit sorgfältig ausgearbeiteten Nutzdaten können Hacker entweder den gesamten Inhalt einer anfälligen Website löschen oder Administratorrechte übernehmen und mehr oder weniger damit tun, was sie wollen.

ThemeGrill hat das Plugin gepatcht

Der WebARX-Bericht zeigt, dass die Offenlegung des Problems und die Unterstützung bei der Behebung nicht die reibungsloseste Erfahrung war, aber wir sollten darauf hinweisen, dass wir weitaus schlimmeres gesehen haben. Die Forscher schickten ihren ersten Bericht am 6. Februar. Nachdem sie fünf Tage lang keine Antworten erhalten hatten, versuchten sie erneut, mit ThemeGrill in Kontakt zu treten. Am 14. Februar antwortete der Entwickler schließlich und innerhalb von zwei Tagen wurde eine neue Version veröffentlicht, die das Problem behebt.

Die Tatsache, dass die Sicherheitsanfälligkeit behoben ist, ist eine gute Nachricht, aber es ist nur die halbe Wahrheit. ThemeGrill Demo Importer 1.3.4, die Version, die den Fehler eingeführt hat, wurde vor satten drei Jahren veröffentlicht, und jede einzelne Website, die das Plugin zwischen damals und Sonntag verwendet hat, als der Patch veröffentlicht wurde, wurde veröffentlicht. Obwohl es keine Hinweise auf eine Ausbeutung in freier Wildbahn gibt, verwenden viele der 200.000 Websites, auf denen ThemeGrill Demo Importer installiert ist, immer noch anfällige Versionen des Plugins, sodass wir sehr bald Opfer der Sicherheitsanfälligkeit sehen können.

Hier liegt das große Problem. Laut W3Techs unterstützt WordPress mehr als 35% aller Websites weltweit. Es gibt ein ganzes Ökosystem, das das CMS unterstützt, und Millionen von Menschen nutzen es, weil die Pflege einer Website damit so einfach wie möglich ist. Leider hat uns die Erfahrung gelehrt, dass Sicherheitsupdates und Patches auf vielen Prioritätenlisten dieser Personen nicht sehr hoch sind. Wenn das Internet sicherer werden soll, muss sich dies ändern.

February 18, 2020

Antworten