WP Statistics Bug ermöglicht Angreifern, Daten von WordPress-Seiten zu stehlen

Cyber Security News

Das Plugin, das auf Hunderttausenden von Websites installiert ist, ermöglicht es jedem, Datenbankinformationen zu filchen, ohne eingeloggt sein zu müssen.

WP Statistics, ein Plugin, das auf mehr als 600.000 WordPress-Websites installiert ist, hat eine SQL-Injection-Sicherheitslücke, die es Website-Besuchern ermöglichen könnte, alle Arten von sensiblen Informationen aus Web-Datenbanken zu stehlen, einschließlich E-Mails, Kreditkartendaten, Passwörter und mehr.

WP Statistics ist, wie der Name schon sagt, ein Plugin, das Analysen für Website-Besitzer liefert, z. B. wie viele Leute die Website besuchen, woher sie kommen, welche Browser und Suchmaschinen sie verwenden und welche Seiten, Kategorien und Tags die meisten Besuche haben. Es liefert auch anonymisierte Daten über IP-Adressen, verweisende Seiten und Details auf Länder- und Stadtebene für Besucher, die alle in Form von Diagrammen und Grafiken dargestellt werden.

Wordfence-Forscher fanden den hochgradig gefährlichen Fehler (verfolgt als CVE-2021-24340, Bewertung 7,5 von 10 auf der CVSS-Skala) in der Funktion “Seiten”, mit der Administratoren sehen können, welche Seiten den meisten Traffic erhalten haben. Sie gibt diese Daten mittels SQL-Abfragen an eine Backend-Datenbank zurück – aber es stellt sich heraus, dass nicht authentifizierte Angreifer die Funktion kapern können, um ihre eigenen Abfragen durchzuführen, um sensible Informationen zu erbeuten.

[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2019/02/19151457/subscribe2.jpg]

“Während die Seite ‘Pages’ nur für Administratoren gedacht war und keine Informationen für Nicht-Administratoren anzeigt, war es möglich, das Laden des Konstruktors dieser Seite zu starten, indem eine Anfrage an wp-admin/admin.php mit dem auf wps_pages_page gesetzten Seitenparameter gesendet wurde”, so die Wordfence-Forscher in einem Posting diese Woche. “Da die SQL-Abfrage im Konstruktor für die Seite ‘Pages’ lief, bedeutete dies, dass jeder Website-Besucher, auch derjenige ohne Login, diese SQL-Abfrage veranlassen konnte, zu laufen. Ein böswilliger Akteur könnte dann bösartige Werte für die ID- oder Typ-Parameter liefern.”

Bei der spezifischen Schwachstelle handelt es sich laut den Forschern von Wordfence um eine zeitbasierte blinde SQL-Injection. Bei dieser Technik werden Anfragen an die Datenbank gesendet, die den Inhalt einer Datenbanktabelle “erraten” und die Datenbank anweisen, die Antwort zu verzögern oder zu “schlafen”, wenn diese Vermutung richtig ist.

Beispielsweise könnte ein Angreifer die Datenbank fragen, ob der erste Buchstabe der E-Mail-Adresse des Admin-Benutzers mit dem Buchstaben “A” beginnt, und sie anweisen, die Antwort um fünf Sekunden zu verzögern, wenn dies richtig ist.

“Das Exfiltrieren von Informationen wäre ein relativ langsamer Prozess, und es wäre unpraktisch, damit Massendatensätze zu extrahieren, aber hochwertige Informationen wie Benutzer-E-Mails, Passwort-Hashes und Verschlüsselungsschlüssel und -salze könnten mit Hilfe von automatisierten Tools wie sqlmap innerhalb weniger Stunden extrahiert werden”, so Wordfence. “Bei einem gezielten Angriff könnte diese Schwachstelle genutzt werden, um personenbezogene Daten von Commerce-Websites mit Kundendaten zu extrahieren. Dies unterstreicht, wie wichtig es ist, überall dort, wo sensible Daten gespeichert werden, Sicherheitsvorkehrungen mit einer Endpoint-Firewall zu treffen.”

Die einzige zuverlässige Methode, SQL-Injection zu verhindern, ist die Vorbereitung aller SQL-Anweisungen vor ihrer Ausführung, fügten die Forscher hinzu. Vorbereitete Anweisungen isolieren jeden Abfrageparameter, so dass ein Angreifer nicht in der Lage wäre, den gesamten Umfang der zurückgegebenen Daten zu sehen.

“Unglücklicherweise verwendete diese SQL-Abfrage zwar esc_sql, um zu versuchen, die ID- und Typ-Eingabeparameter zu umgehen, aber sie verwendete keine vorbereitete Anweisung”, erklärten die Forscher. “Da der ID-Eingabeparameter nicht in Anführungszeichen gesetzt wurde, war es trivial, die esc_sql-Funktion zu umgehen und Abfragen zu generieren, die dazu verwendet werden konnten, sensible Informationen von der Website zu extrahieren.”

VeronaLabs, der Entwickler des Plugins, hat mit der Version 13.0.8 einen Patch veröffentlicht, so dass Website-Administratoren so schnell wie möglich aktualisieren sollten.

Ein ähnlicher Fehler wurde Anfang Mai gefunden, der das Plugin “Spamschutz, AntiSpam, FireWall by CleanTalk” betraf, das auf mehr als 100.000 Sites installiert ist. Auch hier konnten Angreifer den zeitbasierten Bling-SQL-Ansatz nutzen, ebenfalls ohne dass sie für einen Angriff angemeldet sein mussten.

Laden Sie unser exklusives KOSTENLOSES Threatpost Insider eBook “2021: The Evolution of Ransomware” (Die Entwicklung von Ransomware), um Ihre Cyber-Abwehrstrategien gegen diese wachsende Geißel zu verbessern. Wir gehen über den Status quo hinaus und decken auf, was als Nächstes auf Ransomware und die damit verbundenen neuen Risiken zukommt. Lesen Sie die ganze Geschichte und DOWNLOADen Sie das eBook jetzt – bei uns!

Einige Teile dieses Artikels stammen aus:
threatpost.com