Sicherheitsforscher von Automattic entdeckten eine Schwachstelle, die das beliebte WordPress-Backup-Plugin UpdraftPlus betrifft. Die Schwachstelle ermöglichte es Hackern, Benutzernamen und gehashte Passwörter herunterzuladen. Automattic spricht von einer „schwerwiegenden Schwachstelle“.
UpdraftPlus WordPress-Backup-Plugin
UpdraftPlus ist ein beliebtes WordPress-Backup-Plugin, das auf über 3 Millionen Websites aktiv installiert ist.
Das Plugin ermöglicht es WordPress-Administratoren, ihre WordPress-Installationen zu sichern, einschließlich der gesamten Datenbank, die Benutzeranmeldeinformationen, Passwörter und andere sensible Informationen enthält.
Publisher verlassen sich auf UpdraftPlus, um die höchsten Sicherheitsstandards in ihrem Plugin einzuhalten, da die Daten, die mit dem Plugin gesichert werden, sehr sensibel sind.
UpdraftPlus-Schwachstelle
Die Schwachstelle wurde durch ein Audit entdeckt, das von einem Sicherheitsforscher bei Jetpack von Automattic durchgeführt wurde.
Sie entdeckten zwei bisher unbekannte Sicherheitslücken.
Der erste bezog sich darauf, wie UpdraftPlus-Sicherheitstoken, sogenannte Nonces, durchgesickert sein könnten. Dies ermöglichte es einem Angreifer, die Sicherung einschließlich der Nonce zu erhalten.
Laut WordPress sollen Nonces nicht die Hauptverteidigungslinie gegen Hacker sein. Es besagt ausdrücklich, dass Funktionen geschützt werden sollten, indem ordnungsgemäß validiert wird, wer über die richtigen Anmeldeinformationen verfügt (durch Verwendung der Funktion namens current_user_can()).
WordPress erklärt:
„Bei der Authentifizierung, Autorisierung oder Zugriffskontrolle sollte man sich niemals auf Nonces verlassen. Schützen Sie Ihre Funktionen mit current_user_can() und gehen Sie immer davon aus, dass Nonces kompromittiert werden können.“
Die zweite Schwachstelle hing mit einer unsachgemäßen Validierung der Rolle eines registrierten Benutzers zusammen, genau das, was WordPress davor warnt, dass Entwickler Schritte unternehmen sollten, um Plugins zu sperren.
Die unsachgemäße Überprüfung der Benutzerrolle ermöglichte es jemandem mit den Daten aus der vorherigen Schwachstelle, alle Backups herunterzuladen, die natürlich vertrauliche Informationen enthalten.
Jetpack beschreibt es:
„Leider hat die Methode UpdraftPlus_Admin::maybe_download_backup_from_email, die mit admin_init verbunden ist, die Rollen der Benutzer auch nicht direkt validiert.
Während einige Überprüfungen indirekt durchgeführt wurden, wie z. B. die Überprüfung der globalen Variable $pagenow, haben frühere Untersuchungen gezeigt, dass diese Variable beliebige Benutzereingaben enthalten kann.
Angreifer könnten diesen Endpunkt verwenden, um Datei- und Datenbank-Backups herunterzuladen, basierend auf den Informationen, die sie durch den oben erwähnten Heartbeat-Bug verloren haben.“
Die National Vulnerability Database der US-Regierung warnt, dass UpdraftPlus „nicht ordnungsgemäß validiert hat, dass ein Benutzer über die erforderlichen Berechtigungen verfügt, um auf die Nonce-Kennung eines Backups zuzugreifen, was es allen Benutzern mit einem Konto auf der Website (z. B. einem Abonnenten) ermöglichen könnte, am meisten herunterzuladen letztes Site- und Datenbank-Backup.“
WordPress erzwungene Updates von UpdraftPlus
Die Schwachstelle war so schwerwiegend, dass WordPress den außergewöhnlichen Schritt unternahm, automatische Updates für alle Installationen zu erzwingen, die UpdraftPlus noch nicht auf die neueste Version aktualisiert hatten.
Publishern wird jedoch empfohlen, davon auszugehen, dass ihre Installation aktualisiert wurde.
Betroffene Versionen von UpdraftPlus
Die kostenlosen Versionen von UpdraftPlus vor 1.22.3 und die Premium-Versionen von UpdraftPlus vor 2.22.3 sind anfällig für den Angriff.
Es wird empfohlen, dass Publisher überprüfen, ob sie die allerneueste Version von UpdraftPlus verwenden.
Zitate
Lesen Sie die Jetpack-Ankündigung
Schwere Schwachstelle in UpdraftPlus 1.22.3 behoben
Lesen Sie die UpdraftPlus-Ankündigung
UpdraftPlus-Sicherheitsversion – 1.22.3 / 2.22.3 – bitte aktualisieren
Lesen Sie die Dokumentation der US-Regierung zur Schwachstelle
CVE-2022-0633-Detail