Close
CVE-2018-6389

Sicherheitslücke in allen Versionen von WordPress

Das WordPress CMS hat eine einfache, aber sehr ernste Sicherheitslücke in Verbindung mit Denial of Service (DoS) Attacken auf Anwendungsebene gefunden, die es jedem Benutzer ermöglicht, die meisten WordPress Websites zu umgehen, selbst mit Hilfe von eine Maschine. Dies geschieht, ohne eine riesige Anzahl von Computern verwenden zu müssen, um die Bandbreite wie bei einem DDoS-Angriff zu überfließen, aber mit dem gleichen Ergebnis. 
Da WordPress Foundation sich weigerte, das Problem zu beheben, bleibt die Sicherheitsanfälligkeit (CVE-2018-6389) ohne Patch und betrifft fast alle Versionen von WordPress, die in den letzten neun Jahren veröffentlicht wurden, einschließlich der neuesten stabilen Version (WordPress Version 4.9.5).

Barak Tawily, israelische Forscher auf dem Gebiet der Sicherheit, entdeckten die Verletzlichkeit, die Essenz davon liegt in der Tatsache , dass «Last-scripts.php», integrierten Skript WordPress CMS und verarbeitete Anforderungen Benutzer. 
Wie von den Entwicklern geplant wird belastungs scripts.php Datei für Administratoren gedacht und ist so konzipiert , Standort , um die Leistung zu verbessern und die Seite schneller geladen werden, indem (auf dem Server), mehrere JavaScript – Dateien in eine einzige Anfrage. 
Allerdings «Last-scripts.php» zu bearbeitenden auf der Anmeldeseite des Administrators (wp-login.php) anmelden, WordPress – Entwickler bieten nicht den Authentifizierungs – Mechanismus, mit dem Ergebnis , dass die Funktion für alle verfügbar ist.
Abhängig von den Plugins und Modulen, die Sie installiert haben, ruft die Datei load-scripts.php selektiv die notwendigen JavaScript-Dateien auf und übergibt ihre Namen an den “load” -Parameter, getrennt durch ein Komma. Wenn die Website geladen wird, versucht “load-scripts.php”, jeden Namen der in der URL angegebenen JavaScript-Datei zu finden, fügt ihren Inhalt zu einer Datei hinzu und sendet sie dann an den Browser des Benutzers. Laut dem Forscher können Sie load-scripts.php zwingen, alle möglichen JavaScript-Dateien (insgesamt 181 Skripte) in einem Durchgang aufzurufen und ihre Namen in der obigen URL zu übergeben. Dies wird die Arbeit der Zielseite etwas langsamer machen, was hohe Kosten von dem Prozessor- und Serverspeicher erfordert.

Obwohl eine Abfrage nicht ausreichen würde, um die gesamte Site für alle Besucher zu “packen”, verwendete Tawily Python-Skripte, um einen Proof-of-Concept (PoC) zu erstellen. Das von ihm erstellte doser.py erstellt eine große Anzahl von gleichzeitigen Anforderungen für dieselbe URL, um möglichst viele CPU-Serverressourcen zu verwenden und die für andere Benutzer verfügbaren Ressourcen zu minimieren. 
Hacker News hat die Authentizität des DoS-Exploits getestet und erfolgreich eine der Demo-Sites WordPress “aufgesetzt”, die an einem mittelgroßen VPS arbeitet.

Da Tawily weiß, dass DoS-Schwachstellen über das Bug Bounty-Programm für WordPress hinausgehen, hat Tawily diese DoS-Schwachstelle verantwortlich für das WordPress-Team über die HackerOne-Plattform gemeldet.
Die Firma weigerte sich jedoch, dieses Problem anzuerkennen und sagte, dass ein solcher Fehler außerhalb der Kontrolle von WordPress liegt und “auf der Serverebene oder auf der Netzwerkebene und nicht auf der Anwendungsebene gemildert werden sollte”. 
Vulnerabilität scheint ernst zu sein, denn etwa 29% der Seiten im Internet verwenden WordPress. Dies macht Millionen von Websites anfällig für Hacker und möglicherweise nicht verfügbar für ihre Benutzer.

Für Websites, die sich keine Dienste leisten können, die Schutz vor Angriffen auf Anwendungsebene bieten, hat der Forscher eine geteilte WordPress-Version bereitgestellt, die einen Patch für diese Sicherheitsanfälligkeit enthält. Sie sollten jedoch die Risiken der Installation eines modifizierten CMS in Betracht ziehen, auch wenn Sie die Quelle als zuverlässig betrachten. Außerdem hat der Forscher ein einfaches Bash-Skript veröffentlicht, das das Problem in einem bereits installierten WordPress behebt.

WordPress gegabelte Version 
Bash-Skript

Leave a Reply

Your email address will not be published. Required fields are marked *