Sicherheitslücke in WordPress CVE-2018-6389

1 Jan 1970

Eine neue WordPress-Schwachstelle wurde vom israelischen Forscher Barak Tawily entdeckt.

Laut der offiziellen WordPress-Website nutzen 29% der bestehenden Websites diese Plattform und daher sind alle WordPress Nutzer von dieser Sicherheitslücke betroffen.

Die bisher unbekannte Lücke in WordPress kann dazu genutz werden, um eine Denial of Service Attacke ausführen zu können. Dazu wird ein Script von WordPress ausgenutzt, welches Javascript oder CSS Dateien zusammensetzt und dem Browser ausliefert (um einzelne Requests zu sparen).

Das Problem liegt in der Datei load-scripts.php, die mehrere Javascript-Pakete über eine einzige Anfrage abruft, wie zum Beispiel bootstrap, jquery und jqueryUI.
Es ist möglich, eine spezielle Anfrage zu erstellen, um eine große Menge verschiedener Javascripts abzurufen, was zu einer hohen CPU-Ressource und einer hohen Bandbreitennutzung führt.

Ein Angreifer hat es so sehr leicht ein Attacke zu fahren und dieses Script massenhaft anzufragen und alle Server zum Absturz zu bringen.
Mit einem einfachen Tool ist es möglich, Hunderte von Anfragen pro Sekunde zu senden, was die RAM - und CPU - Auslastung bis zum Limit erhöhen kann. Dies führt zu einem Ausfall des Webservers.

Der Exploit wird auch veröffentlicht in: https://www.exploit-db.com/exploits/43968/

Wirgehen davon aus, dass die Angriffe in den nächsten Tagen zunehmen werden.

Verlassen Sie sich nicht auf die offizielle WordPress-Lösung, denn WordPress fühlt sich nicht dafür zuständig.

WordPress-Entwickler fühlen sich nicht zuständig

In seinem Beitrag schreibt Barak Tawily:

…I thought they* would understand that there is a security issue here and properly address it. After going back and forth about it a few times and my trying to explain and provide a PoC, they refused to acknowledge it and claimed that:
„This kind of thing should really be mitigated at the server or network level rather than the application level, which is outside of WordPress’s control.“

 

Eine Lösung ist nicht einfach, und es gibt bisher noch keine offizielle Lösung, und die Firewall-Regeln, die möglicherweise erstellt werden, sind nicht in der Lage, einen tatsächlichen Angriff von einer legitimen Skriptanfrage zu unterscheiden.

Wir haben das Problem selbst in die Hand genommen

ORC Webhosting hat in Zusammenarbeit mit  einem unserer Software Partnern eine intelligente Lösung zum Schutz unserer Kunden geschaffen, die feststellen kann, ob eine Anfrage von einem authentifizierten WordPress-Benutzer kommt oder nicht, um dann einen Angriff zu verhindern oder die Skriptnutzung entsprechend zuzulassen. Wichtig ist, dass Ihre WordPress Seite auf dem neuesten Stand ist!!!