WordPress über unverschlüsseltes Cookie angreifbar
Das freie CMS WordPress ist über ein nicht verschlüsselt gesendetes Cookie in ungesicherten Netzen angreifbar. Das Cookie ist vergleichbar mit einem Plastikband am Eingang eines Clubs, das zum wiederholten Betreten berechtigt. Eine Technikerin der Electronic Frontier Foundation (EFF) entdeckte darin jetzt eine Lücke.
Sie bemerkte, dass WordPress-Server dieses Schlüssel-Cookie mit dem Inhalt "wordpress_logged_in" unverschlüsselt übersenden. Dies ist nach gängiger Praxis ein Lapsus, der die Sicherheit gefährdet. Das Cookie wird gesetzt, sobald ein Endanwender sich mit gültigem Namen und Passwort angemeldet hat. Wenn der Browser dem WordPress-Server dieses Cookie vorzeigt, wird der Anwender eingelassen, eventuell vorhandene Nachrichten werden angezeigt oder Blogeinträge veröffentlicht.
Selbst bei eingeschalteter Zwei-Faktor-Authentifizierung gelang es Yan Zhu von der EFF mit einem Cookie, das sie aus einer ihrer Sessions gefischt und in eine frische Browser-Instanz kopiert hatte, Zugang zu WordPress zu erlangen, ohne einen Usernamen oder ein Passwort zu benötigen. Auf die gleiche Weise könnte ein Angreifer in ungesicherten Umgebungen wie etwa einem Internet-Café oder einem offenen WLAN an ein gültiges Cookie kommen.
Ein Angreifer kann mit diesem Cookie alle Funktionen des CMS benutzen und sogar die E-Mail-Adresse des Konto-Besitzers ändern und die Zwei-Faktor-Authentifizierung einschalten. Das Passwort lässt sich mit dem Cookie alleine jedoch nicht ändern, dazu wird ein zweites Cookie benötigt, das verschlüsselt gesendet wird. Trotzdem lässt sich der rechtmäßige Besitzer aus seinem Account ausschließen. Das gestohlene Cookie erlischt erst nach Ablauf von drei Jahren, wie Zhu in ihrem Blog berichtet.
WordPress-Hauptentwickler Andrew Nacin bestätigte die Lücke und sagte deren Beseitigung für die nächste Veröffentlichung zu. Bis zur Beseitigung der Sicherheitslücke sollten Anwender Vorsicht in Netzen walten lassen, denen sie nicht vertrauen. Allerdings können auch Provider oder Geheimdienste das Cookie abfangen und einsetzen.
Die nächste geplante Veröffentlichung von WordPress 4.0 ist für den 27. August vorgesehen, solange kein Maintainance-Release für 3.9.x mehr eingeschoben wird.