Eine kritische Authentifizierungsumgehungsschwachstelle wurde entdeckt, die das WordPress-Plugin "Really Simple Security" (früher "Really Simple SSL") betrifft, und zwar sowohl die kostenlose als auch die Pro-Version.
Really Simple Security ist ein Sicherheits-Plugin für die WordPress-Plattform, das SSL-Konfiguration, Login-Schutz, eine Zwei-Faktor-Authentifizierungsschicht und Echtzeit-Schwachstellenerkennung bietet. Allein die kostenlose Version wird auf über vier Millionen Websites verwendet.
Wordfence, das die Schwachstelle öffentlich gemacht hat, bezeichnet sie als eine der schwerwiegendsten Schwachstellen, die in seiner 12-jährigen Geschichte gemeldet wurden, und warnt davor, dass sie es Angreifern ermöglicht, vollständigen administrativen Zugriff auf die betroffenen Websites zu erlangen.
Erschwerend kommt hinzu, dass die Schwachstelle mit Hilfe automatisierter Skripte massenhaft ausgenutzt werden kann, was zu groß angelegten Website-Übernahmekampagnen führen kann.
Das Risiko ist so groß, dass Wordfence vorschlägt, dass Hosting-Provider das Plugin auf Kunden-Websites zwangsaktualisieren und ihre Datenbanken scannen, um sicherzustellen, dass niemand eine anfällige Version verwendet.
2FA führt zu schwächerer Sicherheit
Es handelt sich um die kritische Schwachstelle CVE-2024-10924, die von Wordfence-Forscher István Márton am 6. November 2024 entdeckt wurde.
Er wird durch eine unsachgemäße Handhabung der Benutzerauthentifizierung in den Zwei-Faktor-REST-API-Aktionen des Plugins verursacht, wodurch ein nicht autorisierter Zugriff auf jedes Benutzerkonto, einschließlich Administratoren, möglich ist.
Konkret liegt das Problem in der Funktion "check_login_and_get_user()", die die Benutzeridentität durch Überprüfung der Parameter "user_id" und "login_nonce" überprüft.
Wenn "login_nonce" ungültig ist, wird die Anfrage nicht abgelehnt, wie es eigentlich sein sollte, sondern "authenticate_and_redirect()" aufgerufen, das den Benutzer allein auf der Grundlage der "user_id" authentifiziert und damit eine Umgehung der Authentifizierung ermöglicht.
Die Schwachstelle kann ausgenutzt werden, wenn die Zwei-Faktor-Authentifizierung (2FA) aktiviert ist. Obwohl sie standardmäßig deaktiviert ist, lassen viele Administratoren sie zu, um die Kontosicherheit zu erhöhen.
CVE-2024-10924 betrifft Plugin-Versionen ab 9.0.0 und bis zu 9.1.1.1 der Versionen "Free", "Pro" und "Pro Multisite".
Der Entwickler hat den Fehler behoben, indem er sichergestellt hat, dass der Code nun korrekt mit fehlgeschlagenen 'login_nonce'-Verifizierungen umgeht und die Funktion 'check_login_and_get_user()' sofort beendet.
Die Korrekturen wurden in der Version 9.1.2 des Plugins vorgenommen, die am 12. November für die Pro-Version und am 14. November für kostenlose Nutzer veröffentlicht wurde.
Der Hersteller hat sich mit WordPress.org abgestimmt, um Sicherheitsupdates für die Nutzer des Plugins zu erzwingen, aber Website-Administratoren müssen trotzdem überprüfen und sicherstellen, dass sie die neueste Version (9.1.2) verwenden.
Bei Nutzern der Pro-Version werden die automatischen Updates nach Ablauf der Lizenz deaktiviert, so dass sie 9.1.2 manuell aktualisieren müssen.
Bis gestern zeigte die WordPress.org-Statistikseite, die die Installationen der kostenlosen Version des Plugins überwacht, etwa 450.000 Downloads an, was bedeutet, dass 3.500.000 Websites potenziell von der Schwachstelle betroffen sind.
