Findige Hacker haben eine Möglichkeit entdeckt, die Passwörter der Administrator-Konten bestimmter WordPress-Websites ohne Zustimmung der Eigentümer zurückzusetzen.

Bei diesen Angriffen gehen sie über das Plug-in Easy WP SMTP, mit dem man die Einstellungen eines Postausgangsservers konfigurieren kann und das auf mehr als 500.000 Websites mit WordPress benutzt wird.

Wie der Hack funktioniert

Diese Zero-Day-Lücke wurde nun auch von Ninja Technologies Network entdeckt. Betroffen sind danach die Versionen Easy WP SMTP 1.4.2 und früher. Das Plug-in legt nämlich eine Debug-Log-Datei für alle versendeten Emails in seinem Installationsverzeichnis ab. „Der Plug-in-Ordner hat keine index.html-Datei, weswegen Hacker bei Servern, die das Directory Listing aktiviert haben, die Datei finden und öffnen können“erklärte dazu Jerome Bruandet von Ninja Technologies Network die Schwachstelle.

Nach der Analyse der Sicherheitsforscher ist es bei anfälligen Versionen des Plug-ins möglich, auch automatisierte Angriffe auszuführen, um das Administrator-Konto zu identifizieren und danach dann das Zurücksetzen des Kennworts einzuleiten.

Weil beim Zurücksetzen eine Email mit einem Link an den Administrator verschickt wird, taucht natürlich auch diese Nachricht in dem Debug Log auf, wo dann die Hacker den Link zum Zurücksetzen des Passworts finden, über den sie dann die Kontrolle über das Admin-Konto der zugehörigen Website bekommen.

Abgesicherte Version: Easy WP SMTP 1.4.4

„Diese Anfälligkeit wird derzeit ausgenutzt, also stellen sie sicher, so schnell wie möglich auf die neueste Version umzusteigen“, wusste Bruandet zu berichten. Der Fehler wurde demnach in der Version Easy WP SMTP 1.4.4 und neuer schon behoben. Diese abgesicherte Version speichert die Log-Datei jetzt im Log-Verzeichnis einer WordPress-Installation, wo sie besser geschützt ist.

Zwar bietet WordPress seit August 2020 (ab der Version 5.5) die Möglichkeit, Erweiterungen für das Content Management System (CMS) automatisch zu aktualisieren. Allerdings ist nicht bekannt, wie viele der über 500.000 angreifbaren WordPress-Installation mit Easy WP SMTP Plug-in diese Funktion auch wirklich aktiviert haben und damit auch bereits die sichere Version nutzen.