Kategorien

Artikel-Schlagworte: „Sicherheitslücke“

Sicherheitsnotiz – Kritische Sicherheitslücke im WordPress Downloadmanager

Seit Anfang Dezember ist eine kritische Sicherheitslücke im beliebten WordPress-Plugin Download Magager bekannt, die es sogar Script-Kiddies erlaubt ungepatchte Server zu kapern.

Ein offen im Internet verfügbares Script nutzt diese Lücke aus, um einen zusätzlichen Administratoraccount anzulegen. Wenn man zusätzlich Shell-Skripte bedienen kann, ist es sogar möglich, ungepatchte Server zu bedienen.

Von der Sicherheitslücke sind die Version 2.7.5 und älter vom Plugin Download Manage. Nutzt man eine dieser Versionen, sollte man schleunigst auf die aktuelle Version 2.7.81 updaten. Bei Updates vor der 2.6er Version gibt es allerdings einiges zu beachten. Mehr dazu auf dem Link am Ende des Artikels.

Links

Download Manager Update auf 2.6 – Hürden

Sicherheitsnotiz – Schädling nutzt alte WordPress-Sicherheitslücke aus

SoakSoak-RU-Blacklisted

SoakSoak-RU-Blacklisted

Der Schädling namens SoakSoak hat hunderttausende Webseiten über das Plug-in Slider Revolution befallen und spioniert die Server aus. In einigen Fällen werden auch Besucher per Drive-By-Download infiziert.

Mittlerweile warnt man erneut vor einer bereits seit Monaten bekannten Sicherheitslücke im beliebten WordPress-Plugin Slider-Revolution. Mittlerweile wird die altbekannte Lücke von der Schadsoftware ausgenutzt. SoakSoak lädt ein bösartiges JavaScript von der Domain soaksoak.ru nach, was dem Schädling seinen Namen gab.  Der Code spät den Webserver aus und infiziert auch Besucher via Drive-by-Download. Google will nach eigenen Angaben bereits hunderttausend infizierte Seiten gesperrt haben.

Ein Update für Slider-Revolution gibt es bereits seit Februar diesen Jahres. Allerdings ist dieser Code auch in einer großen Anzahl von WordPress-Themes verbastelt und deren Nutzer scheinen sich dessen nicht immer bewußt zu sein.

Slider Revolution wird verwendet um Bilder in Teasern und Bilderstrecken rotieren zu lassen. Themes, die jetzt nach über einem dreiviertel Jahr noch diese Sicherheitslücke aufweisen, kann man nicht als gepflegt betrachten. Daher sollte man sich als WordPressnutzer überlegen, auf sichere Alternativen bei den Themes umzusteigen.

Ansonsten ist den Nutzern von Slider-Revolution empfohlen, schnellstens das Update auf Version 4.2 dieses Plugins zu installieren.

Die Firma Sucuri bietet einen einen kostenlosen Seiten-Scanner an. Alle wichtigen Links habe ich noch einmal am Artikelende zusammengefasst.

Links

  1. Warnung vor SoakSoak
  2. Sucuri – kostenloser Websitenscanner

Sicherheitsnotiz – Cross Site Scripting bei WordPress

WordpressAm Wochenende kam ein umfangreicheres Softwareupdate auf WordPress 4.0.1 heraus. Dieses Update behebt massive Sicherheitstechnische Lücken, gerade in den Versionen 3.0 bis 3.9.2 von WordPress. In diesen alten Versionen ist WordPress anfällig für Cross Site Scripting.

Was genau ist Cross Site Scripting eigentlich?

Beim Cross Site Scripting werden Sicherheitslücken in Webseiten und Contant Management Systemen (CMS) dahin ausgenutzt. Hierbei wird von außen, also vom Hackerschädlicher Code in eigentlich in Seiten eingepflanzt, denen die meisten Internetnutzer vertrauen. Dieser Code überträgt dann beim Ansurfen Computerschädlinge auf den Rechner, oder manipuliert den eingehenden und ausgehenden Netzwerkverkehr auf irgend einer Weise um den unbedarften Surfer Schaden zu zu fügen. Beispielsweise werden sensible Daten wie Passwörter und Anmelde-Daten bei Foren und dergleichen abgegriffen, was dann zum Identitätsdiebstahl führen kann.

Und was genau passiert bei WordPress?

Bei WordPress war es in den Versionen 3.0 bis 3.9.2 möglich, via Kommentarfunktion schädlichen Code auf Java-Script Basis einzufügen. Liest ein Moderator oder ein Administrator einer WordPress-Installation neu hinzugekommene Kommentare, war es möglich den Code auszuführen. Damit ist es möglich das Admin-Passwort zu ändern, andere Nutzerkonten anzulegen und bestehende zu sperren. Somit wäre der gesamte Blog von Fremden übernommen. Die aktuelle Version 4.0 ist nicht betroffen, allerdings steht ein umfangreiches Sicherheitsupdate auf 4.0.1 zur Installation bereit, welches diese Lücke und einige weitere schließen soll.

WP-Statistics ist auch betroffen …

Das beliebte Statistic-Plugin für WordPress ist auch von einer solchen Sicherheitslücke empfohlen. Über diese kann auch ein Angreifer Administratorrechte im Blog erlangen. Weiterhin kann man darüber auch SEO-Spam in Blog-Posts einfügen. Auch hier steht ein Update zur Verfügung.

Was kann ich nun gegen solche Lücken tun?

Das WordPress-Team bringt regelmäßig, aber auch außerhalb des normalen Updatezyklus immer neue und verbesserte Versionen für die beliebte Bloggingsoftware heraus. Im Normalfall wird der Administrator im Dashboard eine Information mit neuen Updates, die gerade verfügbar sind, erhalten. Auch gibt es zu solchen Updates im Regelfall über die WSordpress Nachrichten im WP-Channel noch einen Beitrag zu Neuerungen. Updates für Plugins und Themes werden auch im Dashboard angezeigt.

Das Meiste an Updates kann man gleich mit wenigen Mausklicks installieren lassen. Das geht schnell und problemlos und passiert auch im Hintergrund. Unterbindet das der Webhoster aus irgend einem Grund, so sollte man das Update manuell einspielen. Wie das geht, habe ich bereits früher schon einmal beschrieben.

Plugins kann man ganz ähnlich auch einer Frischzellenkur unterziehen. Das geht wie das WordPressupdate auch aus dem Dashboard heraus. Gibt es da Seitens der Webhoster Probleme, so kann man das auch manuell durchführen. Einfach das Plugin aus dem offiziellen WordPress Pluginverzeichnis downloaden, auf dem heimischen Rechner entpacken und dann via FTP-Programm in den Plugin-Ordner unter wp-content schubsen. Meist noch kurz im Dashboard aktivieren und fertig ist das Update von Plugins.

Fazit

Auch Updateverweigerer sind in der Pflicht ihre Software aktuell zu halten. Momentan nutzen noch über 80 Prozent aller Blogger eine veraltete WordPress Installation. Mit dieser gefährden sie nicht nur sich selbst, auch ihre Leser und sogar die Webspacebetreiber, auf deren Servern die Blogs liegen. Es ist grob fahrlässig, nicht zu updaten. Da gelten auch keine Ausreden, daß man am Blog irgendetwas kaputt machen kann. Es gibt genug Tutorials im Internet, die dazu Unterstützuing geben und genug Foren, wo man seine Fragen loswerden kann und Hinweise zu Updates finden kann. Zur Erleichterung habe ich fürher schon einmal ein Tutorial geschrieben, was ich hier wieder verlinke. Also macht euch dran und aktualisiert eure Seiten.

Links

  1. Rezepteküche: WordPress – WordPress Updaten
  2. Offizielles WordPress Pluginverzeichnis

Sicherheitsnotiz: WordPress-Plugin Mailpoet erlaubt Angriff auf Webserver

Eine kürzlich entdeckte Sicherheitslücke in dem Plugin MailPoet für WordPress, erlaubt das systematische Kapern von Webservern. Das Anfang Juli veröffentlichte Update sollte also schleunigst nachgerüstet werden, sofern dies noch nicht geschehen ist.

Vor ein paar Tagen entdeckten Sicherheitsforscher eine kritische Schwachstelle in dem Plugin. Die Entwickler reagierten prompt und stellten eine aktualisierte Version des Newsletter-Managementsystems für WordPress zur Verfügung. Betroffen sind allerdings alle Versionen von MailPoet bis inklusive Version 2.6.8. Aktuell trägt MailPoet die Versionsnummer 2.6.9. Alle älteren und kleineren Versionsnummern sind betroffen.

Ein Propgrammierfehler in den alten Versionen erlaubt es, die Uploadfunktion, die nur für Admins gedacht ist, um beliebige Dateien hochzuladen. Das betrifft natürlich auch gefährlichen Quellcode, der so auf den Server gelangen kann. Angreifern ist es so möglich, eine PHP-Datei mit einer Hintertür hochzuladen, mit der man den gesamten Webserver kontrollieren kann. Einige Webhoster wie 1&1 erkennen solcherlei Angriffe und informieren betroffene Kunden.

Die Hintertür wird vor allem genutzt, um Spam-Mails zu versenden. Dazu werden an verschiedenen Stellen Dateien mit manipuliertem PHP-Code versteckt und andere Dateien abgeändert. Die Reinigung eines Systems ist mühselige Arbeit, weil der Code recht durcheinander und nicht leicht aufzuspüren ist. Einen ersten Anhaltspunkt für die weitere Inspektion kann eine Suche nach PHP-Funktionen mit _replace, _decode oder eval im Namen sein. Doch für eine zuverlässige Desinfektion wird das kaum ausreichen.

Sicherheitsnotiz – Sicherheitslücke bei Asus Routern

Eine Gruppe unbekannter Aktivisten hat eine Liste mit über 12000 IP-Adressen von Asus-Routern veröffentlicht. In diesen Geräten wurden Sicherheitslücken bekannt, die es Angreifern erlaubt, den Router komplett zu kapern. Die zweite Lücke erlaubt das Auslesen von an den Router angeschlossenen USB Geräten (beispielsweise USB-Sticks und externe Festplatten), die zur Datensicherung und Datenfreigabe über das Heimnetzwerk dienen.

Bei Routern ohne Patch erlaubt der FTP-Server in der Grundeinstellung das Einloggen ohne Passwort und die AiCloud-Software der Geräte speichert ihre Zugangsdaten in einem öffentlich zugänglichen Verzeichnis. Des weiteren erlauben die Lücken Änderungen an den Systemdateien, so dass ein Angreifer einen VPN-Tunnel in das interne Netz einrichten kann. Sämtlicher Traffic der über den Router läuft kann so ebenfalls mitgeschnitten werden.

Beide Lücken wurden vor über 6 Monaten an Asus gemeldet, worauf Asus einen Monat später einen Firmwarepatch veröffentlichte, der diese Lücken schließt. Augenscheinlich wurden diese Patches aber auf vielen Geräten nicht installiert.

Beim Modell Asus RT-N66U, konnte ein Zugriff auf die Klartextzugangsdaten im Juni bestätigt werden. Ein Firmware-Update auf Version 3.0.4.372 oder höher behebt die Schwachstellen und sollte unbedingt vollzogen werden. Firmware Updates können von der Asus Support-Seite heruntergeladen werden.

Die Schwachstelle wurde in Anlehung an den Wartergate-Skandal als Asusgate betituliert und ist im Internet unter dem Hashtag #ASUSGATE zu finden.

Fazit:

Jeder, der ein Router der Marke Asus hat, sollte die Firmeware mit aktuellen Patches Updaten. Nicht nur die Nutzer eines Asus Routers, sondern auch andere Gerätemarken sollten regelmäßig eine softwareseitige Frischzellenkur bekommen. Ist ein Router einmal von Fremden gekapert, haben diese übers Internet leichten Zugang zum privaten Heimnetzwerk und damit Zugriff auf sämtliche Computer und Geräte, die im Netzwerk hängen. Auch der gesamte Internetverkehr (auch Passwörter und Zugangsdaten zum Onlinebanking) kann mitgelesen werden. Leider haben viele Endanwender nicht wirklich Ahnung, wie ein Firmwareupdate für den Router von statten geht, oder wie sie selbst Zugriff auf das Gerät haben. Daher bleiben viele Schwachstellen im Router über Monate und Jahre hinweg ungepatcht und das kann mitunter fatale Folgen haben. Im Internet gibt es für jedes Routermodell ausführliche Dokumentationen für Zugriff und Firmwareupdates für den jeweils genutzten Routertyp.

Links

Asus Supportseite

Zurück zum Seitenanfang