Anti-Spam-WordPress-Plugin könnte Website-Benutzerdaten preisgeben

Cyber Security News

Das Plugin ‘Spam protection, AntiSpam, FireWall by CleanTalk’ ist auf mehr als 100.000 Websites installiert – und könnte Angreifern, die nicht einmal eingeloggt sind, sensible Daten preisgeben.

Eine SQL-Injection-Schwachstelle, die in einem WordPress-Plugin namens “Spam protection, AntiSpam, FireWall by CleanTalk” entdeckt wurde, könnte Benutzer-E-Mails, Passwörter, Kreditkartendaten und andere sensible Informationen für einen nicht authentifizierten Angreifer preisgeben.

Spamschutz, AntiSpam, FireWall von CleanTalk ist auf mehr als 100.000 Websites installiert und wird hauptsächlich dazu verwendet, Spam und Müllkommentare in Diskussionsforen von Websites auszusortieren.

[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/04/29074106/Zoho_Webinar_Promo.png]

Nehmen Sie an Threatposts LIVE-Roundtable-Veranstaltung “Fortifying Your Business Against Ransomware, DDoS & Cryptojacking Attacks” am Mittwoch, den 12. Mai um 14:00 Uhr EDT teil. Dieses KOSTENLOSE Webinar wird von Zoho ManageEngine gesponsert.

Laut Wordfence entsteht das Problem (CVE-2021-24295, das eine hohe CVSS-Schwachstellenbewertung von 7,5 von 10 hat) durch die Art und Weise, wie Wordfence die Filterung durchführt. Es unterhält eine Blockliste und verfolgt das Verhalten verschiedener IP-Adressen, einschließlich der User-Agent-Zeichenfolge, die Browser senden, um sich zu identifizieren.

“Leider hat die update_log-Funktion in lib/Cleantalk/ApbctWP/Firewall/SFW.php, die verwendet wurde, um Datensätze dieser Anfragen in die Datenbank einzufügen, keine vorbereitete SQL-Anweisung verwendet”, so die Firma, die am Dienstag eine Analyse veröffentlichte.

SQL-Injection ist eine Web-Sicherheitslücke, die es Angreifern ermöglicht, die Abfragen einer Anwendung an ihre Datenbank zu stören, so dass sie die Antworten abfangen oder ableiten, die Datenbanken bei Abfragen zurückgeben. Prepared Statements sind eine der Möglichkeiten, dies zu verhindern; sie isolieren jeden Abfrageparameter, so dass ein Angreifer nicht in der Lage wäre, den gesamten Umfang der zurückgegebenen Daten zu sehen.

Die Forscher waren in der Lage, die Schwachstelle in CleanTalk erfolgreich über die zeitbasierte, blinde SQL-Injection-Technik auszunutzen, sagten sie. Dabei handelt es sich um einen Ansatz, bei dem Anfragen an die Datenbank gesendet werden, die den Inhalt einer Datenbanktabelle “erraten” und die Datenbank anweisen, die Antwort zu verzögern oder zu “schlafen”, wenn die Vermutung richtig ist.

“Zum Beispiel könnte eine Anfrage die Datenbank fragen, ob der erste Buchstabe der E-Mail-Adresse des Admin-Benutzers mit dem Buchstaben ‘c’ beginnt, und sie anweisen, die Antwort um fünf Sekunden zu verzögern, wenn dies richtig ist, und dann zu versuchen, die nächsten Buchstaben der Reihe nach zu erraten”, so Wordfence. “Es gibt eine Reihe anderer SQL-Injection-Techniken, die viele Formen der traditionellen Eingabesanitisierung umgehen können, abhängig von der genauen Konstruktion der anfälligen Abfrage.”

Wordfence wies auf mehrere Merkmale im Plugin-Code hin, die das Ausnutzen des Problems erschweren. Zum Beispiel ist die verwundbare SQL-Abfrage eine “Insert”-Abfrage.

“Da die Daten nicht in eine sensible Tabelle eingefügt wurden, konnte die Insert-Abfrage von einem Angreifer nicht verwendet werden, um die Site durch Ändern von Werten in der Datenbank auszunutzen, und dies erschwerte auch das Abrufen sensibler Daten aus der Datenbank”, so Wordfence.

Außerdem wurde in der SQL-Anweisung die Funktion “sanitize_text_field” verwendet, um SQL-Injection zu verhindern, und der User-Agent wurde in der Abfrage in einfachen Anführungszeichen angegeben.

“Trotz dieser Hindernisse waren wir in der Lage, einen Proof-of-Concept zu erstellen, der in der Lage war, Daten von jeder beliebigen Stelle in der Datenbank zu extrahieren, indem Anfragen gesendet wurden, die SQL-Befehle im Request-Header des User-Agents enthielten”, so die Forscher.

Um geschützt zu sein, sollten Web-Administratoren die gepatchte Version des Plugins, 5.153.4, aktualisieren.

Nehmen Sie mit Threatpost an der Veranstaltung “Fortifying Your Business Against Ransomware, DDoS & Cryptojacking Attacks” teil – ein LIVE-Roundtable-Event am Mi, 12. Mai um 14:00 Uhr EDT. Gesponsert von Zoho ManageEngine, moderiert Threatpost-Moderatorin Becky Bracken eine Expertenrunde, die die besten Abwehrstrategien für diese Bedrohungen des Jahres 2021 diskutiert. Fragen und LIVE-Beteiligung des Publikums sind erwünscht. Nehmen Sie an der lebhaften Diskussion teil und registrieren Sie sich HIER kostenlos.

Einige Teile dieses Artikels stammen aus:
threatpost.com