Kritische Schwachstelle im Adning Advertising Plugin
Der WordPress-Plugin Adning Advertising, bekannt als Banner-Werbeanzeigemanager, sieht sich einer kritischen Sicherheitsanfälligkeit gegenüber, die aktuell wilder ausgenutzt wird. Diese Schwachstelle ermöglicht es einem nicht authentifizierten Angreifer, beliebige Dateien hochzuladen, was zu einer Remote-Code-Ausführung (RCE) und möglicherweise zu einer vollständigen Übernahme der Website führen kann. Aufgrund der Schwere der Schwachstelle wurde ihr vom MITRE-Organisation sogar die höchste CVSS-Bewertung von 10.0 zugewiesen.
Entwicklung der Sicherheitslücke
Forschende von Wordfence, einer weit verbreiteten Sicherheitslösung für WordPress, entdeckten zudem eine schwerwiegende, nicht authentifizierte Path-Traversal-Schwachstelle im Adning-Plugin, nachdem sie Berichte über einen kompromittierten Webauftritt erhalten hatten. Diese Schwachstelle betrifft Plugins in mehr als 8.000 Installationen und war früher als WP PRO Advertising System bekannt.
Die Art und Weise, wie die Angriffe abliefen, war durch eine spezifische Firewall-Regel geschützt, die für Wordfence-Kunden konfiguriert wurde. Laut einem Bericht des Bedrohungsanalysten Ram Gall wurden die Versuche, die Schwachstellen auszunutzen, jedoch nur in sehr begrenztem Umfang durchgeführt. Dies führte dazu, dass Details zu den Angriffsversuchen bis zu einem gewissen Zeitpunkt zurückgehalten wurden, damit die Nutzer Zeit hatten, ihre Systeme zu aktualisieren und weitere Risiken zu minimieren.
Am 10. Juli 2020 gab Gall bekannt, dass bis zu diesem Datum lediglich 24% der Kunden, die das Adning-Plugin nutzten, auf die gepatchte Version aktualisiert hatten. Die erste dokumentierte Attacke fand am 13. Juni statt, und trotz der bereits bestehenden Firewall-Regeln, die die meisten Angriffsvarianten blockierten, gab es Möglichkeiten zur Umgehung dieser Schutzmaßnahmen.
Der Schweregrad der RCE-Schwachstelle ist bemerkenswert, da sie in direktem Zusammenhang mit dem Hochladen von Bannerbildern steht. Angreifer können dabei die AJAX-Aktion _ning_upload_image nutzen, die über einen nopriv_-Hook angelegt ist, das bedeutet, dass jeder Besucher der Website, ohne eingeloggt zu sein, Zugriff hat. Dadurch wird es einem Angreifer möglich, schädlichen Code durch das Einfügen von PHP-Dateien hochzuladen.
Funktionsweise der Angriffe
Ein Angreifer kann eine POST-Anfrage an wp-admin/admin-ajax.php senden, während er das allowed_file_types auf PHP festlegt. Alternativ könnte er die erlaubten Dateitypen auf ZIP setzen, um ein komprimiertes Archiv hochzuladen, das wieder eine bösartige PHP-Datei enthält. Diese muss nur entpackt werden, um dem Angreifer Zugang zur Website zu verschaffen.
Zudem nutzen Angreifer die nopriv_-Hook-basierte AJAX-Aktion _ning_remove_image, um eine Path-Traversal-Schwachstelle auszunutzen. Sollte es einem Angreifer gelingen, kritische Dateien wie wp-config.php zu löschen, könnte die Website zurückgesetzt werden. Nach dem Zurücksetzen könnte der Angreifer dann die Site so konfigurieren, dass sie auf eine von ihm kontrollierte Datenbank verweist, wodurch die ursprünglichen Inhalte durch eigene Inhalte ersetzt würden.
Die AJAX-Aktionen waren von ihrer Programmlogik her nicht so gesichert, dass sie vorher eine Berechtigungs- oder nonce-Prüfung durchführten, was die Situation weiter erschwert und die Risiken erhöht.
Reaktionszeit und Aktualisierungen
Wordfence informierte den Entwickler des Plugins, Tunafish, am 25. Juni über die entdeckten Schwachstellen. Tunafish hat in beeindruckender Geschwindigkeit reagiert und innerhalb von weniger als 24 Stunden eine gepatchte Version des Plugins veröffentlicht. Es wird dringend empfohlen, auf die neueste Version 1.5.6 des Adning Advertising-Plugins zu aktualisieren, um sich vor diesen Schwachstellen zu schützen. Ältere Versionen, insbesondere 1.5.5 und darunter, sind anfällig für diese Angriffe.
Es ist wichtig, dass Website-Betreiber stets Wachsamkeit walten lassen und regelmäßig ihre Plugins und Themes auf den neuesten Stand bringen, insbesondere wenn sie in der WordPress-Umgebung tätig sind. Sicherheit sollte immer an erster Stelle stehen, um die Integrität und Vertraulichkeit der Nutzerdaten zu gewährleisten.
Zusammengefasst sind die potenziellen Risiken, die durch die Sicherheitsanfälligkeiten im Adning Advertising-Plugin entstehen, erheblich. Es ist entscheidend, dass Webseiten-Betreiber die notwendigen Aktualisierungen vornehmen, um ihre Plattformen vor unrechtmäßigen Zugriffen zu schützen. Das Setzen von Sicherheitsmaßnahmen und das Vornehmen von regelmäßigen Updates sind unerlässlich, um die eigene Website und die darauf gespeicherten Informationen vor Bedrohungen zu schützen.
Mit der richtigen Vorbereitung und schnellen Reaktion, wie sie auch von Tunafish gezeigt wurde, können die meisten Sicherheitsanfälligkeiten schnell behoben und weitere Komplikationen vermieden werden.
Bewertungen
Es gibt noch keine Bewertungen.