{"id":187212,"date":"2017-02-07T00:00:00","date_gmt":"2017-02-06T23:00:00","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=187212"},"modified":"2022-03-30T06:49:59","modified_gmt":"2022-03-30T04:49:59","slug":"wordpress-4-7-2-und-die-verschwiegene-sicherheitslcke","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/02\/07\/wordpress-4-7-2-und-die-verschwiegene-sicherheitslcke\/","title":{"rendered":"WordPress 4.7.2 und die verschwiegene Sicherheitslücke – deutsche Sites betroffen"},"content":{"rendered":"

\"\"WordPress wurde vor einigen Tagen auf die Version 4.7.2 aktualisiert \u2013 ich hatte im Blog-Beitrag WordPress Version 4.7.2 verf\u00fcgbar<\/a> dar\u00fcber berichtet. Es handelt sich um ein Wartungs-Update, welches Probleme und Sicherheitsl\u00fccken fixt. Was der Changelog nicht verr\u00e4t: Es wurde eine gravierende Sicherheitsl\u00fccke geschlossen. Nachtrag:<\/strong> Ein Problem im Zusammenhang mit der REST API ist nach wie vor offen, und wird aktiv ausgenutzt. Auch viele deutsche Websites sind betroffen.<\/p>\n

<\/p>\n

\"\"Wer kein Auto-Update bei WordPress f\u00e4hrt, sollte jetzt dringend handeln und die WordPress Blog-Software auf die Version 4.7.2 aktualisieren. Bereits vor ein paar Tagen habe ich eine Sicherheitswarnung des Sicherheitsanbieters WordFence \u00fcber eine Sicherheitsl\u00fccke im Kern von WordPress. Der betreffende Blog-Beitrag vom 2. Februar 2017 ist hier zu finden<\/a>. Auch Sururi warnt vor den L\u00fccken und im Blog d\u00fcmpeln weitere Artikel, die u.a. die REST-API-Schwachstelle adressieren (siehe WordPress: REST API erm\u00f6glicht \"Konten-Harvesting\"<\/a>).<\/p>\n

L\u00fccke stillschweigend geschlossen, eine noch offen<\/h3>\n

Bei Bleeping Computer ist man da weniger zur\u00fcckhaltend und benennt Ross und Reiter. Im Artikel WordPress Team Fixed a Zero-Day Behind Everyone's Back and Told No One<\/a> gibt man an, dass heimlich zwei Sicherheitsl\u00fccken, die aktiv ausgenutzt werden, stillschweigend geschlossen wurden. Eine deutschsprachige Information zum Thema ist bei heise.de<\/a> zu finden.<\/p>\n

Nachtrag: Viele (auch deutsche) Websites betroffen<\/h3>\n

Gerade erhalte ich vom Sucuri-Sicherheitsteam eine Mail mit der Warnung, dass die L\u00fccken in WordPress bis zur Version 4.7.1 aktiv ausgenutzt werden. Mittlerweise sind viele 10.000 WP-Blogs in Google abrufbar, die bereits angegriffen wurde, denn der Fehler in der REST-API ist noch nicht behoben.<\/p>\n

\"Kompromittierte<\/p>\n

Geht man in Google nach dem String by w4l3XzY3 auf die Suche, werden eine Treffer ausgeworfen (siehe Screenshot). Das Radisson Park Inn in Papenburg ist genau so dabei wie die deutsche Psychologen Akademie, ein deutsche \"Keynote-Speaker und CEO\" oder ein Ponyhof in Nettetal.<\/p>\n

Ich habe die Betreiber diverser Sites per Mail informiert. Nachtrag: Auch nach zwei Tagen ist da nichts passiert – daf\u00fcr sind aber neue Sites hinzugekommen.<\/p><\/blockquote>\n

Das ist aber nicht der einzige Hinweis auf Infektionen, die Schwachstellen in der REST-API werden von diversen Gruppen ausgenutzt, um Blogs zu kompromittieren. Details zum Thema finden sich in diesem Sucuri-Artikel<\/a> \u2013 wobei die L\u00fccke durch die Verwendung von Sicherheits-L\u00f6sungen (WP-Firewall) von Sucuri oder WordFence) nicht ausnutzbar ist. Die andere L\u00f6sung besteht darin, in WordPress 4.7.2 die REST-API, zum Beispiel mit dem WordPress Disable REST API<\/a> Plugin, abzuschalten.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nWordPress Version 4.7.2 verf\u00fcgbar<\/a>
\nWordPress: REST API erm\u00f6glicht \"Konten-Harvesting\"<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

WordPress wurde vor einigen Tagen auf die Version 4.7.2 aktualisiert \u2013 ich hatte im Blog-Beitrag WordPress Version 4.7.2 verf\u00fcgbar dar\u00fcber berichtet. Es handelt sich um ein Wartungs-Update, welches Probleme und Sicherheitsl\u00fccken fixt. Was der Changelog nicht verr\u00e4t: Es wurde eine … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,1574],"tags":[4328,4349],"class_list":["post-187212","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-wordpress","tag-sicherheit","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/187212","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=187212"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/187212\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=187212"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=187212"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=187212"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}