Das Plugin Anti-Spam by CleanTalk wird von mehr als 200.000 Seiten mit WordPress genutzt. Es schützt jedoch nicht nur vor Spam, sondern stellt eine Bedrohung für die Sicherheit dar, da Hacker leichten Zugang haben.
Das WordPress-Plugin Anti-Spam by CleanTalk wird von mehr als 200.000 WordPress-Seiten genutzt. Spezialisten von Wordfence stehen diesem Plugin kritisch gegenüber, da sie gleich zwei Sicherheitslücken entdeckt haben. Ohne vorherige Authentifizierung können Angreifer per Reverse-DNS-Spoofing zugreifen und die Kontrolle über die Seite erlangen. Verwundbare Instanzen können dadurch vollständig kompromittiert werden. Die beiden Sicherheitslücken ähneln sich.
Funktionsweise des Anti-Spam-Plugins
Das Anti-Spam-Plugin schützt WordPress-Seiten vor Spam-Kommentaren. Es weist jedoch Sicherheitslücken auf und ermöglicht Hackern einen leichten Zugang. Cyber-Security-Experten von Wordfence stellten die Sicherheitslücken bei diesem Plugin fest.
Wordfence berichtet davon, dass ein externer Nutzer Ende Oktober 2024 die Schwachstelle entdeckte und an Wordfence meldete. Die Mitarbeiter von Wordfence prüften das Plugin und haben noch eine weitere Anfälligkeit entdeckt. Sie stuften die beiden Sicherheitslücken mit einem Gefahrenwert von 9,8 Punkten als kritisch ein. Wie hoch die Gefahr ist, zeigt, dass 10 Punkte bereits der höchstmögliche Gefährdungswert sind.
Wie Hacker die Schwachstelle nutzen
Beide Schwachstellen des Plugins können von Angreifern ausgenutzt werden, ohne dass eine Autorisierung erforderlich ist. Hacker können mit Remote Calls beliebig viele Plugins einschleusen, die sie dann aktivieren. Die Angreifer können einen beliebigen Code ausführen. Bei einem von den Hackern installierten verwundbaren Plugin ist es möglich, aus der Ferne Codeausführungen zu bedienen. Angreifer können Malware installieren.
Mit Reverse-DNS-Spoofing können Hacker die Autorisierung umgehen. IP-Adressen werden bei einer Reverse-DNS-Anfrage in einen Domainnamen umgewandelt. Die Akteure gaukeln dem Plugin vor, dass die Anfrage von der Webseite selbst kommt. Das gelingt ihnen, wenn sie in den Code den Namen einbauen. Das Plugin prüft, ob eine Anfrage legitim ist. Die IP-Adresse wird rückwärts aufgelöst. Stellt das Plugin fest, dass der Name der Webseite an einer Stelle auftaucht, hält es die Anfrage für legitim. Die Angreifer haben sich auf diese Weise Zugriff verschafft.
Bei der zweiten Sicherheitslücke autorisiert das Plugin Token, nachdem der Hash-Wert mit dem API-Key verglichen wurde. Die Autorisierung wird bei einem leeren API-Key durch das Plugin nicht verhindert. Angreifer können sich autorisieren, wenn noch keine Konfiguration des API-Keys stattgefunden hat. Angreifer schicken einen Token entsprechend dem leeren Hash-Wert. Um weitere Plugins zu installieren, können sie Plugin-Funktionen aufrufen.
Reaktion von CleanTalk auf Sicherheitslücken
CleanTalk hat schnell auf die Meldung von Wordfence reagiert und am 1. November einen ersten Patch veröffentlicht. Der zweite Patch folgte am 14. November. Die Sicherheitslücken traten in allen Versionen auf, die vor dem Update 6.45 Mitte November erschienen sind. Wer noch eine frühere Version nutzt, sollte laut Empfehlung von Wordfence ein Update auf die Version 6.45 vornehmen.
Weitere Plugins mit Sicherheitslücken
Das Anti-Spam-Plugin bei CleanTalk ist nicht das erste WordPress-Plugin mit Sicherheitslücken. Ein Add-on mit dem Namen MW WP Form zeigte bereits vor ungefähr einem Jahr eine Sicherheitslücke. Nutzer von WordPress können mit diesem Add-on E-Mail-Formulare erstellen und in ihre Seite über einen Shortcode einfügen. Das Add-on wird ebenfalls von etwa 200.000 WordPress-Seiten genutzt.
Das Plugin Litespeed Cache wird sogar von sechs Millionen Seiten verwendet. Anfang Oktober 2024 wurde bei diesem Plugin eine Schwachstelle identifiziert.
Quellen: CleanTalk, Wordfence, Linux-Magazin, Heise, t3n