Websicherheit: Wie KenFM von Anonymous gehackt wurde

Auf der Webseite AnonLeaks sind Details über den Hack von KenFM veröffentlicht worden. Personen, die sich dem Anonymous-Kollektiv zurechnen, haben vor einigen Tagen die Webseite des Verschwörungsideologen Ken Jebsen übernommen und ein Defacement durchgeführt.

Laut dem Bericht fanden sich auf der mit Wordpress betriebenen Webseite mehrere Sicherheitsprobleme. Ein Wordpress-Plugin war für einen Cross-Site-Scripting-Angriff verwundbar, dies war jedoch letztendlich nicht der genutzte Angriffsvektor.

Anonymous fand auf dem Webserver ein Datenbank-Backup, dessen Dateiname - database.sql - erratbar war. Über einen ähnlichen Vorfall bei der Deutschen Post berichtete Golem.de vor einigen Jahren.

Backup-Datei führt zu Installer von Wordpress-Duplicator-Plugin

Weiterhin fand sich auf der Seite ein Backup des gesamten Webverzeichnisses. Den dazugehörigen Dateinamen verrät AnonLeaks nicht, über ähnliche Schwachstellen hat Golem.de ebenfalls in der Vergangenheit berichtet.

Diese beiden Lücken führten bereits dazu, dass Anonymous Zugriff auf den gesamten Inhalt und die Nutzerdaten der Webseite hatte. Ein Defacement ist so aber nicht direkt möglich. Die Passwörter sind bei Wordpress gehasht gespeichert. Um sie zu knacken, müsste man also einen Brute-Force-Angriff durchführen. Dieser würde nur bei schwachen Passwörtern funktionieren.

Anonymous fand in den Daten jedoch eine Datei installer.php, die zum Wordpress-Plugin Duplicator Pro gehörte. Dabei handelt es sich um ein Plugin, das einen einfachen Umzug der Seite ermöglicht. Das Plugin gibt es auch in einer kostenlosen Lite-Version, die Sicherheitsprobleme sind dabei identisch.

Durch diese Installer-Datei ließ sich ein Backup der Wordpress-Installation erneut in einem Unterverzeichnis installieren. Der Trick dabei: Bei dieser erneuten Installation kann man einen eigenen Datenbankserver angeben. Somit hatte Anonymous eine Kopie der Wordpress-Version, die eine von ihnen kontrollierte Datenbank nutzte. Dort konnte man dann die Passwort-Hashes zurücksetzen und sich einloggen.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Der Rest ist vergleichsweise einfach: Über ein Wordpress-Plugin installierte Anonymous einen PHP-basierten Dateimanager, mit dem ein Vollzugriff auf den Webspace möglich war.

Offen bleibt, warum genau die Installer-Datei von Duplicator Pro an dieser Stelle lag. Das Duplicator-Plugin dient dazu, Wordpress-Installationen von einem Server auf einen anderen umzuziehen. In der alten Installation erzeugt das Plugin eine ZIP-Datei und die installer.php-Datei, die man herunterlädt und auf den neuen Server hochlädt.

Sicherheitsfirma Synacktiv warnte 2018 vor ähnlichem Angriff

2018 hatte die IT-Sicherheitsfirma Synacktiv über derartige Probleme mit dem Duplicator-Plugin berichtet. Frühere Versionen des Plugins hatten dabei versäumt, die installer.php-Datei anschließend auch zu löschen. In der aktuellen Version wird die Datei gelöscht, allerdings erst nach dem ersten Login.

Aus den Screenshots von AnonLeaks geht allerdings hervor, dass in dem Fall die installer.php-Datei nicht im Root-Verzeichnis war, sondern im Unterverzeichnis des Plugins. Auch aktuelle Versionen des Plugins legen dort eine Kopie der installer.php-Datei ab, allerdings unter einem nicht trivial erratbaren Namen. Riskant ist das allemal, wenn etwa aufgrund einer Server-Fehlkonfiguration das Verzeichnis lesbar ist oder über andere Wege ein Angreifer Kenntnis über den Dateinamen erhält.

Wer das Duplicator-Plugin - egal ob in der Pro- oder Lite-Variante - in der Vergangenheit genutzt hat, sollte sicherstellen, dass sich weder im Root-Verzeichnis des Webservers noch im Unterverzeichnis des Plugins (wp-content/backups-dup-lite oder wp-content/backups-dup-pro) Überreste des Umzugs befinden.

Der Autor dieses Artikels hat ein freies Tool namens Snallygaster entwickelt, das nach Datei-Leaks auf Servern scannt. Ein Test für Dateien wie database.sql enthielt das Tool bereits, für offen abrufbare Installer-Dateien des Duplicator-Plugins wurde ein neuer Test hinzugefügt.

Hanno Böck ist Golem-Redakteur für die Themen IT-Sicherheit und Kryptographie. Bei der Golem Akademie gibt Hanno den Workshop "IT-Sicherheit für Webentwickler". In dem zweitägigen Onlineseminar führen die Teilnehmer Angriffe auf reale Webapplikationen praktisch durch und analysieren, wie sich solche Schwachstellen schließen lassen. Für den nächsten Termin am 5./6. Juli 2021 bietet die Golem Akademie Schnellentschlossenen einen Rabatt von 20 Prozent an.