A critical authentication bypass vulnerability has been discovered impacting the WordPress plugin ‘Really Simple Security’ (formerly ‘Really Simple SSL’), including both free and Pro versions.
Really Simple Security ist ein Sicherheits-Plugin für die WordPress-Plattform, das SSL-Konfiguration, Login-Schutz, eine Zwei-Faktor-Authentifizierungsschicht und Echtzeit-Schwachstellenerkennung bietet. Allein die kostenlose Version wird auf über vier Millionen Websites verwendet.
Wordfence, which publicly disclosed the flaw, calls it one of the most severe vulnerabilities reported in its 12-year history, warning that it allows remote attackers to gain full administrative access to impacted sites.
Erschwerend kommt hinzu, dass die Schwachstelle mit Hilfe automatisierter Skripte massenhaft ausgenutzt werden kann, was zu groß angelegten Website-Übernahmekampagnen führen kann.
Das Risiko ist so groß, dass Wordfence vorschlägt, dass Hosting-Provider das Plugin auf Kunden-Websites zwangsaktualisieren und ihre Datenbanken scannen, um sicherzustellen, dass niemand eine anfällige Version verwendet.
2FA führt zu schwächerer Sicherheit
The critical severity flaw in question is CVE-2024-10924, discovered by Wordfence’s researcher István Márton on November 6, 2024.
Er wird durch eine unsachgemäße Handhabung der Benutzerauthentifizierung in den Zwei-Faktor-REST-API-Aktionen des Plugins verursacht, wodurch ein nicht autorisierter Zugriff auf jedes Benutzerkonto, einschließlich Administratoren, möglich ist.
Konkret liegt das Problem in der Funktion "check_login_and_get_user()", die die Benutzeridentität durch Überprüfung der Parameter "user_id" und "login_nonce" überprüft.
Wenn "login_nonce" ungültig ist, wird die Anfrage nicht abgelehnt, wie es eigentlich sein sollte, sondern "authenticate_and_redirect()" aufgerufen, das den Benutzer allein auf der Grundlage der "user_id" authentifiziert und damit eine Umgehung der Authentifizierung ermöglicht.
Die Schwachstelle kann ausgenutzt werden, wenn die Zwei-Faktor-Authentifizierung (2FA) aktiviert ist. Obwohl sie standardmäßig deaktiviert ist, lassen viele Administratoren sie zu, um die Kontosicherheit zu erhöhen.
CVE-2024-10924 betrifft Plugin-Versionen ab 9.0.0 und bis zu 9.1.1.1 der Versionen "Free", "Pro" und "Pro Multisite".
Der Entwickler hat den Fehler behoben, indem er sichergestellt hat, dass der Code nun korrekt mit fehlgeschlagenen 'login_nonce'-Verifizierungen umgeht und die Funktion 'check_login_and_get_user()' sofort beendet.
Die Korrekturen wurden in der Version 9.1.2 des Plugins vorgenommen, die am 12. November für die Pro-Version und am 14. November für kostenlose Nutzer veröffentlicht wurde.
Der Hersteller hat sich mit WordPress.org abgestimmt, um Sicherheitsupdates für die Nutzer des Plugins zu erzwingen, aber Website-Administratoren müssen trotzdem überprüfen und sicherstellen, dass sie die neueste Version (9.1.2) verwenden.
Bei Nutzern der Pro-Version werden die automatischen Updates nach Ablauf der Lizenz deaktiviert, so dass sie 9.1.2 manuell aktualisieren müssen.
As of yesterday, the WordPress.org stats site, which monitors installs of the free version of the plugin, showed approximately 450,000 downloads, leaving 3,500,000 sites potentially exposed to the flaw.
