Das beliebte WordPress-Plugin ist anfällig für Ausbeutung und kann zur Entführung einer vollständigen Website verwendet werden, warnt Sicherheitsexperten
Ein beliebtes WordPress-Plugin, das Website-Administratoren bei Wartungs- und Instandhaltungsaktivitäten unterstützt, ist äußerst umfangreich anfällig für Ausbeutung. Das einfach zu manipulierende Plugin kann verwendet werden, um die gesamte Website inaktiv zu machen, oder Angreifer können diese mit Administratorrechten übernehmen. Die Sicherheitslücke im beliebten WordPress-Plugin wurde als "Kritisch" gekennzeichnet und mit einer der höchsten CVSS-Bewertungen bewertet.
Ein WordPress-Plugin kann mit minimalem Aufwand von autorisierten Administratoren verwendet werden. Die Sicherheitsanfälligkeit lässt Datenbankfunktionen anscheinend völlig ungesichert. Dies bedeutet, dass jeder Benutzer möglicherweise alle gewünschten Datenbanktabellen ohne Authentifizierung zurücksetzen kann. Unnötig hinzuzufügen, bedeutet dies, dass Beiträge, Kommentare, ganze Seiten, Benutzer und deren hochgeladene Inhalte in Sekundenschnelle gelöscht werden können.
Das WordPress-Plugin "WP Database Reset" ist anfällig für einfaches Ausnutzen und Manipulieren bei der Übernahme oder Abschaltung von Websites:
Wie der Name schon sagt, wird das WP Database Reset-Plugin zum Zurücksetzen von Datenbanken verwendet. Website-Administratoren können zwischen einem vollständigen oder teilweisen Zurücksetzen wählen. Sie können sogar einen Reset basierend auf bestimmten Tabellen anordnen. Der größte Vorteil des Plugins ist die Bequemlichkeit. Das Plugin vermeidet die mühsame Aufgabe der Standardinstallation von WordPress.
Das Wordfence-Sicherheitsteam, das die Fehler aufgedeckt hat, gab an, dass am 7. Januar zwei schwerwiegende Schwachstellen im WP Database Reset-Plugin gefunden wurden. Jede der Schwachstellen kann verwendet werden, um ein vollständiges Zurücksetzen der Website oder die Übernahme derselben zu erzwingen.
Die erste Sicherheitsanfälligkeit wurde als CVE-2020-7048 gekennzeichnet und mit einem CVSS-Wert von 9,1 bewertet. Dieser Fehler liegt in den Funktionen zum Zurücksetzen der Datenbank vor. Anscheinend wurde keine der Funktionen durch Überprüfungen, Authentifizierung oder Überprüfung von Berechtigungen gesichert. Dies bedeutet, dass jeder Benutzer beliebige Datenbanktabellen ohne Authentifizierung zurücksetzen kann. Der Benutzer musste lediglich eine einfache Anrufanforderung für das WP Database Reset-Plugin stellen und konnte Seiten, Beiträge, Kommentare, Benutzer, hochgeladene Inhalte und vieles mehr effektiv löschen.
Die zweite Sicherheitslücke wurde als CVE-2020-7047 gekennzeichnet und mit einem CVSS-Wert von 8,1 bewertet. Obwohl die Punktzahl etwas niedriger ist als die erste, ist der zweite Fehler ebenso gefährlich. Diese Sicherheitslücke ermöglichte es jedem authentifizierten Benutzer, sich nicht nur Administratorrechte auf Gottesebene zu gewähren, sondern auch "alle anderen Benutzer mit einer einfachen Anfrage von der Tabelle zu entfernen". Erstaunlicherweise spielte die Berechtigungsstufe des Benutzers keine Rolle. Über dasselbe sprach Chloe Chamberland von Wordfence:
„Jedes Mal, wenn die Tabelle wp_users zurückgesetzt wurde, wurden alle Benutzer aus der Benutzertabelle entfernt, einschließlich aller Administratoren, mit Ausnahme des aktuell angemeldeten Benutzers. Der Benutzer, der die Anfrage sendet, wird automatisch an den Administrator weitergeleitet, selbst wenn er nur ein Abonnent ist. “
Als alleiniger Administrator könnte der Benutzer im Wesentlichen eine anfällige Website entführen und effektiv die vollständige Kontrolle über das Content Management System (CMS) erlangen. Laut den Sicherheitsforschern wurde der Entwickler des Plugins zum Zurücksetzen der WP-Datenbank benachrichtigt, und diese Woche sollte ein Patch für die Sicherheitsanfälligkeiten bereitgestellt werden.
Die neueste Version des WP Database Reset-Plugins mit den enthaltenen Patches ist 3.15. Angesichts des schwerwiegenden Sicherheitsrisikos sowie der hohen Wahrscheinlichkeit einer dauerhaften Dateneliminierung müssen Administratoren das Plugin entweder aktualisieren oder vollständig entfernen. Laut Experten ist auf rund 80.000 Websites das WP Database Reset-Plugin installiert und aktiv. Etwas mehr als 5 Prozent dieser Websites scheinen das Upgrade durchgeführt zu haben.