Jetzt Sicherheitsupdate für Schwachstelle CVE-2015-3429 installieren!
Mut zur Lücke? Besser nicht! Als Hosting Partner und Experte für Cloud Lösungen ist die Sicherheit von Websites für netrics nicht nur oberstes Ziel, sondern auch eine „professionelle“ Herzensangelegenheit. Um Sicherheit zu gewährleisten müssen die Betreiber von Websites aktuelle Entwicklungen aufmerksam verfolgen und immer wieder aktiv werden. Derzeit betrifft dies insbesondere die Nutzer des Content Management Systems WordPress: Vor einigen Wochen sind gleich zwei Schwachstellen in WordPress bekannt geworden, über die wir alle Administratoren nochmals eingehend informieren möchten, denn laut Einschätzung von GovCERT sind noch immer Zehntausende Websites potentiell gefährdet.
GovCERT, das Computer Emergency Response Team der Schweizer Regierung, ist eine Unterorganisation von MELANI, der Melde- und Analysestelle Informationssicherung. Die Behörde warnt aktuell vor den Sicherheitslücken CVE-2015-3440 und CVE-2015-3429 in WordPress. Von den in der Schweiz registrierten und mit WordPress betriebenen Websites sollen 70 Prozent einem potentiellen Risiko ausgesetzt sein – mehr als 90.000 sind betroffen. Der Grund: Aktuelle Erhebungen zeigen, dass mehrere Wochen nach Bekanntwerden der Vulnerabilitys die neuen von WordPress herausgegebenen Sicherheitspatches von vielen Administratoren noch nicht installiert wurden. Sie arbeiten nach wie vor mit einer veralteten Version, die für die neuen Schwachstellen anfällig ist. Durch diese Schwachstellen könnten Informationen gestohlen und Seiten gekapert werden. Es geht dabei um die WordPress Versionen < 4.2.1.
CVE-2015-3440: Im April 2015 hatte die Bundesbehörde über eine Schwachstelle in WordPress informiert, die es zulässt, Kommentare mit einem darin enthaltenen infizierten Java Script (CVE-2015-3440) zu posten, die länger als die vorgesehene Maximallänge des Textfeldes sind. Das MySQL Textfeld ist auf 64 KByte begrenzt, längere Texte die werden abgeschnitten. In der Folge kommt es zur Generierung fehlerhafter HTML-Seiten. Über die Schwachstelle können Hacker sogenannte Cross-Site-Scripting-Attacken (XSS) auf Websites ausüben – sensible Daten können gestohlen und ganze Websites übernommen werden. WordPress hat umgehend ein Security Update (WP 4.2.1) herausgegeben, mit dem die Lücke geschlossen werden kann, doch kurz darauf ist eine neue aufgetaucht:
CVE-2015-3429: Am 6. Mai wurde eine neue Vulnerability bekannt, die es Hackern wieder erlaubt, einen Cross-Site-Scripting-Angriff (XSS) durchzuführen. Noch bevor WordPress mit einem Update reagieren konnte, wurde die Lücke von Cyberkriminellen ausgenutzt. Die Schwachstelle existiert auch im beliebten WordPress Plugin „JetPack“. Hacker können eine User Session kapern, das Passwort des eingeloggten Users ändern und sich somit sämtliche Adminrechte für die Webapplikation verschaffen. Am 7. Mai hat WordPress das Security Patch für diese Vulnerability bereitgestellt.
Wenn Sie das Update noch nicht installiert haben, holen Sie es jetzt nach.
Dies ist auch erforderlich wenn Sie das Sicherheitsupdate für CVE-2015-3440 bereits installiert haben (Version 4.2.1).
GovCERT Statistik der gefährdeten .ch Webseiten
GovCERT hat folgende Einschätzung über die potentielle Gefährdung von .ch Websites herausgegeben. Sie basiert auf der genutzten WordPress Version. Ob darunter Webseiten sind, die durch eigene Firewall Applikationen vor den oben genannten Sicherheitslücken geschützt sind, ist nicht bekannt. Die Behörde schätzt die Gefährdung jedoch als sehr wahrscheinlich ein, da veraltete WP Versionen genutzt werden, die bekannterweise für diese Attacken empfänglich sind.
Anteil der durch CVE gefährdeten .ch Webseiten:
(CVE-2015-3440, Stored XSS Vulnerability in WordPress, CVE-2015-3429, XSS Vulnerability in WordPress und JetPack)
GovCERT geht davon aus, dass es auch bei anderen CMS wie Typo3, Joomla und Drupal noch viele Schwachstellen durch veraltete Versionen geben könnte und kritisiert das mangelhafte Update-Verhalten vieler Administratoren. Der unumstössliche Rat an alle CMS User lautet deshalb:
Halten Sie als Administrator Ihre Website immer auf dem neusten Stand – installieren Sie zeitnah die neuen Updates!
Es gibt inzwischen eine Vielzahl von CMS am Markt, die von Unternehmen und privaten Betreibern eingesetzt werden. CMS Systeme sind grossartig – einfach zu bedienen bieten Sie dem User grossen Spielraum und viel Flexibilität bei der Gestaltung der eigenen Website. 100% Sicherheit können sie jedoch nicht bieten. Und mit jeder neu implementierten Funktion steigt das Risiko für Sicherheitslücken, da die Anwendung immer komplexer wird. Das wissen auch die Cyberkriminellen, die sich gezielt auf Suche nach solchen Schwachstellen machen. Besonders interessant sind viel genutzte Systeme wie WordPress, Typo3, Joomla und andere, da sie mit Millionen von Nutzern weltweit eine riesige Angriffsfläche bieten. Cyberkriminelle durchbrechen immer wieder neue Sicherheitslücken – Lücken, die Sie als Nutzer selbst schliessen müssen, um Ihre Website wieder sicher betreiben zu können. Nachlässigkeit kann hier fatale Folgen haben.
Doch Sie können auch vorbeugen. Ein dynamisches System erfordert ein gewisses Mass an Aufmerksamkeit und Pflege, um den reibungslosen Betrieb sicherzustellen – denken Sie nur an Ihr Auto! Mit ein paar wichtigen Vorsichtsmassnahmen können Sie sich weitgehend vor Angriffen auf Ihr Content Management System und daraus resultierenden Schäden schützen:
Unabhängig von den neuen WordPress Schwachstellen legen wir allen Nutzern eines CMS diese grundsätzlichen Vorsichtsmassnahmen ans Herz, die auch MELANI empfiehlt:
netrics wünscht Ihnen eine angriffsfreie Zeit. Bleiben Sie am Ball, was die Security Updates für Ihr CMS anbelangt!