WordPress Plugin Getwid: Kritische SSRF-Schwachstelle CVE-2023-1895

Anfang 2023 wurde eine kritische Schwachstelle im weit verbreiteten WordPress-Plugin Getwid – Gutenberg Blocks offengelegt. Die Schwachstelle CVE-2023-1895 besitzt einen CVSS-Score von 8,5 und ermöglicht authentifizierten Angreifern mit minimalen Rechten, Server Side Request Forgery (SSRF)-Angriffe durchzuführen. Obwohl zur Ausnutzung eine gültige Authentifizierung erforderlich ist, hat diese Schwachstelle erhebliche Auswirkungen auf Organisationen, die WordPress für ihre Webpräsenz nutzen – insbesondere aus Sicht der Versicherungsunterzeichnung und Risikobewertung.

Diese Schwachstelle verdeutlicht, wie scheinbar geringfügige Fehler in Drittanbieter-Plugins erhebliche Cyberrisiken für Unternehmen darstellen können – sowohl hinsichtlich der Schadenhäufigkeit als auch der Deckungshöhe. Für Underwriter, Makler und Risikoingenieure ist es entscheidend, die technischen und geschäftlichen Auswirkungen solcher Schwachstellen zu verstehen, um das Cyberrisiko korrekt zu bewerten und zu bewerten.

Was ist CVE-2023-1895?

CVE-2023-1895 betrifft das WordPress-Plugin Getwid – Gutenberg Blocks, konkret die Versionen bis einschließlich 1.8.3. Die Schwachstelle liegt im REST-API-Endpunkt get_remote_content, der dazu dient, externe Inhalte für die Anzeige auf einer WordPress-Seite abzurufen. Aufgrund unzureichender Eingabevalidierung kann ein authentifizierter Angreifer mit Subscriber-Rechten oder höher diesen Endpunkt manipulieren, um beliebige Webanfragen vom Server auszuführen.

Dies ist ein klassischer SSRF-Angriff. Er erlaubt es Angreifern, Netzwerk-Firewalls zu umgehen, auf interne Dienste zuzugreifen und sich möglicherweise in kritischere Systeme vorzuarbeiten. Obwohl eine gültige Anmeldung erforderlich ist, erhalten neue Benutzer in Standard-WordPress-Konfigurationen oft automatisch Subscriber-Rechte, was die Ausnutzung erleichtert.

Warum dies für die Cyberversicherung relevant ist

Aus Versicherungssicht ist CVE-2023-1895 ein Paradebeispiel dafür, wie Abhängigkeiten von Drittanbieter-Software unerwartete oder unterschätzte Risiken mit sich bringen können. Da das betroffene Plugin weit verbreitet ist, sind eine Vielzahl von Websites – darunter auch solche von KMU, Behörden und Großunternehmen – möglicherweise unbemerkt gefährdet.

Aus Underwriting-Sicht erhöht dies die Schadenhäufigkeit. SSRF-Schwachstellen wurden bereits in realen Angriffen genutzt, um Daten abzugreifen, interne Netzwerke zu scannen und Schadsoftware zu verbreiten. Ein prominentes Beispiel ist die Capital One-Datenpanne 2019, bei der über 100 Millionen Kunden betroffen waren und eine Entschädigung in Höhe von 190 Millionen US-Dollar gezahlt wurde. Obwohl CVE-2023-1895 allein möglicherweise keine solch gravierenden Vorfälle auslöst, kann sie als Eintrittspunkt für weiterführende Angriffe dienen.

Darüber hinaus verdeutlicht diese Schwachstelle eine häufige Deckungslücke in Cyberversicherungsverträgen: Risiken durch Drittanbieter-Plugins sind oft nicht explizit geregelt. Bei einem Schaden durch ein nicht gepatchtes Plugin kann der Versicherer die Deckung verweigern, wenn die Police Ausschlüsse für bekannte Schwachstellen oder unzureichende Sicherheitsmaßnahmen enthält.

Technische Details in geschäftlicher Sprache

Im Kern ermöglicht CVE-2023-1895 einem Angreifer, der sich in eine WordPress-Seite eingeloggt hat, den Server zu einem ungewollten Webrequest zu verleiten. Dies kann unter anderem genutzt werden, um:

• interne Netzwerkdienste abzutasten, die nicht öffentlich erreichbar sind;
• auf Metadatendienste in Cloud-Umgebungen (z. B. AWS Instance Metadata Service) zuzugreifen, um Zugangsdaten zu stehlen;
• Firewall-Regeln zu umgehen, indem der Webserver als Proxy genutzt wird.

Für Risikomanager und Underwriter ergeben sich daraus folgende geschäftliche Auswirkungen:

• Erhöhte Angriffsfläche: Jede Website, die die anfällige Plugin-Version nutzt, ist gefährdet – unabhängig von Größe oder Branche.
• Gefahr für Zugangsdaten und Daten: Interne Systeme und Cloud-Umgebungen können kompromittiert werden, wenn keine ausreichende Segmentierung vorliegt.
• Reputations- und Regulierungsrisiken: Bei Datenverlust oder Systemkompromittierung können Bußgelder und Meldepflichten gemäß Datenschutzvorschriften (z. B. DSGVO) ausgelöst werden.

Obwohl der CVSS-Score von 8,5 eine hohe Schwere andeutet, reduziert die Authentifizierungsvoraussetzung die Ausnutzbarkeit in manchen Szenarien. In Umgebungen mit schwachen Zugriffskontrollen oder aktivierter öffentlicher Registrierung kann diese Hürde jedoch leicht genommen werden.

Auswirkungen auf Deckung und Underwriting

Für Underwriter ist CVE-2023-1895 ein Indikator für operative Cybersicherheitsmängel. Unternehmen, die Drittanbieter-Plugins nicht überwachen oder patchen, vernachlässigen möglicherweise auch grundlegende Sicherheitspraktiken wie Netzwerksegmentierung, Zugriffskontrolle oder Schwachstellenmanagement. Dies erhöht die Wahrscheinlichkeit eines Schadens und sollte sich direkt auf die Underwriting-Entscheidung auswirken.

Wichtige Faktoren bei der Risikobewertung sind:

• Reife des Patch-Managements: Verfolgt das Unternehmen einen strukturierten Ansatz für die Aktualisierung von Drittanbietersoftware?
• Zugriffskontroll-Richtlinien: Sind Standardnutzerrollen eingeschränkt und wird Multi-Faktor-Authentifizierung durchgesetzt?
• Bereitschaft zur Schadensabwehr: Würde das Unternehmen SSRF-basierte Erkundungsaktivitäten rechtzeitig erkennen und darauf reagieren?

Aus Sicht der Deckung sollten Policen klar definieren, ob bekannte Schwachstellen in Drittanbieter-Plugins abgedeckt sind. Makler sollten mit ihren Kunden sicherstellen, dass Schwachstellenanalysen und Patch-Management fester Bestandteil des Risikomanagements sind. Werkzeuge wie der Cyberrisiko-Rechner von Resiliently helfen dabei, die finanziellen Auswirkungen ungepatchter Schwachstellen zu quantifizieren.

Empfehlungen für Risikoingenieure und Makler

Um Risiken durch Schwachstellen wie CVE-2023-1895 zu minimieren, sollten Risikoingenieure und Makler folgende Maßnahmen ergreifen:

1. Inventarisierung und Überwachung von Drittanbieter-Plugins: Führen Sie eine aktuelle Übersicht aller verwendeten Plugins und Themes. Nutzen Sie automatisierte Tools zur Erkennung bekannter Schwachstellen.

2. Least-Privilege-Zugriff durchsetzen: Deaktivieren Sie öffentliche Registrierungen, falls nicht erforderlich, und beschränken Sie Standardnutzerrollen, um unbefugten Zugriff zu verhindern.

3. Web Application Firewalls (WAFs) einsetzen: Eine WAF kann helfen, bösartige Anfragen an verwundbare Endpunkte – wie SSRF-Versuche – zu erkennen und zu blockieren.

4. Regelmäßige Penetrationstests durchführen: SSRF-Schwachstellen werden oft von automatisierten Scannern übersehen. Manuelle Tests können solche Risiken frühzeitig aufdecken.

5. Policeformulierung prüfen: Stellen Sie sicher, dass Cyberversicherungsverträge die Deckung für Schwachstellen in Drittanbieter-Software klar regeln und Erwartungen an das Patch-Management festlegen.

6. Risikomessung nutzen: Plattformen wie Resiliently ermöglichen es, die finanziellen Auswirkungen von Schwachstellen zu modellieren und Sanierungsmaßnahmen nach Geschäftsprioritäten auszurichten.

Fazit

CVE-2023-1895 ist mehr als nur eine technische Schwachstelle in einem WordPress-Plugin – sie verdeutlicht, wie stark vernetzte digitale Ökosysteme das Cyberrisiko verstärken können. Für Versicherungsfachleute unterstreicht diese Schwachstelle die Notwendigkeit, nicht nur die Technologie, sondern auch die betrieblichen Praktiken im Umgang damit zu verstehen.

Angesichts der sich ständig weiterentwickelnden Cyberrisiken müssen Underwriter und Makler über pauschale Risikobewertungen hinausgehen und datenbasierte Ansätze zur Risikomessung und -bewertung nutzen. Die Verfolgung und das Management von Cyberrisiken mit unserem Risikoregister helfen Teams, potenzielle Schwachstellen frühzeitig zu erkennen und sicherzustellen, dass die Deckung den tatsächlichen Risiken entspricht.