Das aktuell von mehr als 4 Millionen WordPress-Webseiten genutzte Plugin WooCommerce ermöglicht es Angreifern mithilfe einer kürzlich entdeckten Sicherheitslücke Admin-Accounts zu übernehmen und somit die komplette Kontrolle über fremde Webseiten zu übernehmen.
Entdeckt wurde die Sicherheitslücke vom Unternehmen Ripstech, die technische Details in ihrem Blog veröffentlicht haben. In der neusten Version des beliebten E-Commerce-Plugins wurde der Fehler inzwischen behoben. Die Bedrohung besteht jedoch auch weiterhin, da ein großer Teil der aktiven Installationen noch veraltete Versionen des Plugins nutzen.
Um den Angriffsvektor auszunutzen ist Zugriff auf einen Shop-Manager-Account nötig. Anschließend können trotz der eingeschränkten Account-Rechte aufgrund der Sicherheitslücke Aktionen ausgeführt werden, die sonst nur Admins offenstehen. Es ist unter anderem möglich mit einer sogenannten „File-Deletion-Attacke“ Dateien des Plugins zu löschen und es so unbenutzbar zu machen. Außerdem können Angreifer bestehende Admin-Accounts übernehmen.
Rechteverwaltung verantwortlich für Sicherheitslücke
Ausgelöst wurde die Sicherheitslücke durch die Rechteverwaltung der Accounts, die von WordPress selbst und nicht vom Plugin WooCommerce übernommen wird. Dies hat dazu geführt, dass die Shop-Manager-Accounts Rechte erhalten haben, andere Accounts anzupassen obwohl sie diese Funktion für ihre eigentliche Aufgabe gar nicht benötigen. Interne Sicherheitsmechanismus den Plugins sollten wiederum verhindern, dass Shop-Manager Admin-Accounts verändern.
Diese Sicherheitsfunktion kann von Angreifern über die File-Deletion-Attacke jedoch ausgehebelt werden, da das Löschen bestimmter Dateien den Filter deaktiviert und es somit auch Shop-Managern erlaubt beliebige Admin-Konten zu verwalten und dort beispielsweise die Passwörter zu verändern. Das genutzte Shop-Manager Konto ist Bestandteil der Wordpress-Installation und kann daher auch weiter genutzt werden, wenn das eigentliche Plugin, das die zusätzliche Schutzfunktion beinhaltete, gelöscht wurde.
Nutzer von WooCommerce sollten dringend überprüfen ob ihr Plugin die Version 3.4.6 oder neuer nutzt und gegebenenfalls ein Update einspielen.
