WordPress-Plugin WP-Slimstat mit Sicherheitslücke
Alexander Trust, den 26. Februar 2015
Das WordPress-Plugin WP-Slimstat wies bis vor kurzem eine kritische Sicherheitslücke auf, die eine SQL-Injection erlaubte, und Hackern somit Tür und Tor öffnete.
Die IT-Sicherheits-Spezialisten von Sucuri haben eine Sicherheitslücke in WP-Slimstat in der Version 3.9.5 und davor gefunden. Schwache kryptographische Schlüssel, die lediglich aus einem MD5-Hash des Datums der Installation bestanden, sorgen dafür, dass man diese mit moderatem Aufwand und entsprechenden Kenntnissen in Erfahrung hätte bringen können.
Seit dem 19. Februar 2015 gibt es ein Update auf Version 3.9.6, das die Sicherheitslücke nicht mehr enthält. Publik gemacht wurde die Sicherheitslücke von Sucuri auch erst am 24. Februar, sodass einige Tage Zeit waren, die WordPress-Installation zu aktualisieren. Der Entwickler rät außerdem, dass man, wenn man ein Caching-Plugin nutzt, ebenfalls den Cache leeren sollte, um auf Nummer sicher zu gehen.
1,3 Millionen Nutzer betroffen?
WP-Slimstat ist ein beliebtes Plugin zum Tracking von Besucher-Statistiken bei WordPress. Es wurde mehr als 1,3 Millionen Mal heruntergeladen. Theoretisch sind deshalb mehr als 1,3 Millionen WordPress-Installationen von der Sicherheitslücke betroffen. In der Praxis dürften es allerdings weitaus weniger sein, weshalb Hysterie unangemessen erscheint. Denn:
- 1,34 Millionen Downloads sind in Teilen von ein und derselben Person ausgeführt worden.
- Die Zahl der Downloads wird bei WordPress akkumuliert, das heißt, das auch Updates in die Zählung integriert sind.
- Die Zahl der Downloads gibt keinen Aufschluss darüber, auf wie vielen WordPress-Versionen das Plugin installiert ist. Nutzer könnten das Plugin bei Nichtgefallen wieder deinstalliert haben.
- Anhand der detaillierten Downloadstatistik von WP-Slimstat ist davon auszugehen, dass das Plugin lediglich von mehreren 10.000 Nutzern verwendet wird.
- Es ist davon auszugehen, dass seit dem 19. Februar bereits eine Reihe von Updates stattgefunden haben. Mit Verweis auf die Download-Statistik wurden ungefähr 30.000 Downloads seit dem 19. Februar ausgeführt.
- Hacker müssten zunächst einmal solche Blogs ausfindig machen, die das Tool nutzen, und dann den Zeitpunkt der Installation feststellen, ehe sie überhaupt damit anfangen können, den Schlüssel zu dechiffrieren.