Aikido

Nicht authentifizierte RCE im WordPress-Kern (wp2shell) über SQL-Injection

Verfasst von
Dania Durnas

SQL-Injektionen sind nach wie vor ein Problem. Am 17. Juli veröffentlichte WordPress ein dringendes Sicherheitsupdate. Version 7.0.2 behebt eine Sicherheitslücke im WordPress-Kern, die die Ausführung von Code aus der Ferne ohne Authentifizierung ermöglicht und von einem anonymen Angreifer bei einer Standardinstallation ohne Plugins ausgenutzt werden kann. Wenn Ihre Website eine betroffene Version verwendet, sollten Sie noch heute ein Update durchführen. WordPress.org hat aufgrund der Schwere dieser Sicherheitslücke die automatischen Updates für betroffene Websites zwangsweise aktiviert. Wir verfolgen diese Sicherheitslücke in Aikido .

Adam Kues von Searchlight Cyber meldete die Sicherheitslücke und hat auf wp2shell.com einen Checker veröffentlicht So können Sie prüfen, ob Ihre Website betroffen ist. (Die Website war jedoch zeitweise nicht erreichbar.) In der Sicherheitswarnung des WordPress-Kerns wird das Problem als Verwechslung der REST-API-Batch-Route und als SQL-Injection-Schwachstelle beschrieben, die zur Ausführung von Remote-Code führt, wobei der Batch-Endpunkt unter /wp-json/batch/v1 als Einstiegspunkt. Searchlight schätzt, dass über 500 Millionen Websites mit WordPress betrieben werden, sodass die betroffene Gruppe sehr groß ist.

Die Verwendung der richtigen Version hat oberste Priorität. Wenn Sie Aikido einsetzen, blockiert dessen integrierte Firewall die SQL-Injection, auf der diese Sicherheitslücke beruht. Somit verfügt eine nicht gepatchte Website während der Einführung des Updates weiterhin über einen Laufzeitschutz.

Betroffene Versionen

Die Sicherheitslücke, die die Ausführung von Remote-Code ermöglicht, betrifft:

  • WordPress 6.9.0 bis 6.9.4, behoben in 6.9.5
  • WordPress 7.0.0 bis 7.0.1, behoben in 7.0.2
  • WordPress 7.1 Beta, behoben in 7.1 Beta 2

Alle Versionen unter 6.9.0 sind nicht von der RCE-Sicherheitslücke betroffen. WordPress 6.8 ist von einer separaten SQL-Injection-Sicherheitslücke betroffen, die im Rahmen desselben Updates behoben wurde; daher sollten Websites, die mit Version 6.8 laufen, auf 6.8.6 aktualisiert werden. Versionen vor 6.8 sind von keiner der beiden Sicherheitslücken betroffen.

Was jetzt zu tun ist

Aktualisieren Sie WordPress umgehend. Die Fehlerbehebung ist in Version 7.0.2 enthalten, bzw. in Version 6.9.5, falls Sie den 6.9-Zweig verwenden. Die meisten Websites, bei denen Hintergrundaktualisierungen aktiviert sind, erhalten das Update automatisch; Sie sollten die Version jedoch in Ihrem Dashboard überprüfen, anstatt einfach davon auszugehen.

Falls Sie das Update nicht sofort durchführen können, werden in der Mitteilung einige vorübergehende Maßnahmen aufgeführt. Sie können ein Plugin installieren, das den nicht authentifizierten Zugriff auf die REST-API blockiert, und sowohl den Pfad /wp-json/batch/v1 und der Abfrageparameter rest_route=/batch/v1 in Ihrem WAF oder fügen Sie ein kleines, unverzichtbares Plugin hinzu, das eine Authentifizierung auf der REST-Batch-Route erfordert. Beide Maßnahmen können den legitimen REST-API-Datenverkehr beeinträchtigen; betrachten Sie sie daher als kurzfristige Übergangslösung, bis Sie das Problem behoben haben.

Diese Sicherheitslücke wird in Aikido erfasst, unserem Echtzeit-Feed, der neue Sicherheitslücken und Malware in Open-Source-Ökosystemen aufdeckt.

Laufzeitschutz Aikido

Dies ist bereits die zweite SQL-Injection-Sicherheitslücke in einer einzigen WordPress-Kernversion. Entwickler bezeichnen SQL-Injection zwar schon seit Jahren als gelöstes Problem, doch es verfolgt uns nach wie vor. Es taucht immer wieder in der Kernsoftware und in Abhängigkeiten auf und ist oft für anonyme Benutzer zugänglich, bevor eine Korrektur vorliegt.

Aikido ist eine eingebettete Firewall, die innerhalb Ihrer Anwendung läuft und Benutzereingaben überprüft, während diese an Ihre Datenbank weitergeleitet werden. Sie blockiert SQL-Injection, Befehlsinjection und Path-Traversal zur Laufzeit und lässt sich mit wenigen Zeilen Code installieren. Zen wurde entwickelt, um diese Art von Angriffen – nämlich durch vom Angreifer kontrollierte Eingaben ausgelöste SQL-Injection – bereits während der Ausführung der Anfrage abzufangen. Für Teams, die nicht sofort nach Bekanntwerden eines Zero-Day-Angriffs einen Patch installieren können, hält diese Laufzeitschicht die Stellung, während Sie den Fix nach Ihrem eigenen Zeitplan bereitstellen.

Zuerst den Patch installieren. Zen ausführen, damit die nächste nicht authentifizierte Injektion an einer Stelle gestoppt werden kann.

Verfolgung von Schwachstellen mit Aikido

Dieser Fehler wird in Aikido zusammen mit den anderen WordPress-Kernproblemen erfasst , die in derselben Version behoben wurden. „Intel“ ist ein Echtzeit-Feed, der neue Veröffentlichungen in Open-Source-Ökosystemen – darunter auch WordPress – unmittelbar nach ihrer Veröffentlichung erfasst und Sicherheitslücken sowie Malware innerhalb weniger Minuten aufdeckt, oft noch bevor sie in die öffentlichen CVE-Datenbanken gelangen.

Wenn Sie Intel bereits nutzen, sind die WordPress-Sicherheitshinweise nun in Ihrem Feed enthalten, sodass Sie diesen und alle weiteren Meldungen verfolgen können, ohne ein Dutzend verschiedene Quellen im Auge behalten zu müssen. Der Feed ist unter intel.aikido.dev frei zugänglich und kann kostenlos durchsucht werden. Er steht unter einer Open-Source-Lizenz zur Verfügung und kann über eine kommerzielle API abgerufen werden, falls Sie die Daten in Ihre eigenen Tools integrieren möchten.

Teilen:

https://www.aikido.dev/blog/unauthenticated-rce-in-wordpress-wp2shell

Nach Malware scannen

Kostenlos starten
4.7/5
Falschpositive Ergebnisse leid?

Probieren Sie Aikido, wie 100.000 andere.
Jetzt starten
Erhalten Sie eine personalisierte Führung

Von über 100.000 Teams vertraut

Jetzt buchen
Scannen Sie Ihre App nach IDORs und realen Angriffspfaden

Von über 100.000 Teams vertraut

Scan starten
Erfahren Sie, wie KI-Penetrationstests Ihre App testen

Von über 100.000 Teams vertraut

Testen starten

Sicherheit jetzt implementieren

Sichern Sie Ihren Code, Ihre Cloud und Ihre Laufzeit in einem zentralen System.
Finden und beheben Sie Schwachstellen schnell und automatisch.

Keine Kreditkarte erforderlich | Scan-Ergebnisse in 32 Sek.