WPvivid Plugin-Schwachstelle gefährdet tausende WordPress-Seiten

Ein anfälliges Plugin gefährdet tausende WordPress-Websites durch Umgehung der Authentifizierung

Im Oktober 2023 enthüllten Sicherheitsforscher die Schwachstelle CVE-2023-5576, eine hochgradige Sicherheitslücke im WPvivid WordPress-Plugin, das Website-Migration, Backup und Staging-Funktionen unterstützt. Die Schwachstelle betrifft Versionen bis einschließlich 0.9.91 und weist einen CVSS-Wert von 8.0 auf. Sie ermöglichte den unautorisierten Zugriff auf sensible Google Drive API-Zugangsdaten, die im Klartext in Plugin-Dateien gespeichert waren, die über das Web erreichbar sind.

Dieses Problem geht über herkömmliche Website-Kompromittierungen hinaus. Für Organisationen im Bereich der Cyber-Versicherung – wie Makler, die das Kundenrisiko bewerten, Underwriter, die Policenbedingungen festlegen, CISOs, die Lieferantenbeziehungen steuern, sowie Risikoingenieure bei Prüfungen – verdeutlicht diese Schwachstelle die Bedeutung des Sicherheitsstatus von Lieferanten und die Notwendigkeit der Überwachung der Lieferkette.

Technische Auswirkung: Zugangsdaten in Plugin-Quellcode offengelegt

Das zentrale Problem von CVE-2023-5576 war die Art und Weise, wie WPvivid Google Drive API-Zugangsdaten verwaltete. Diese Tokens wurden im Klartext in JavaScript-Dateien gespeichert, die öffentlich zugänglich waren. Das bedeutete, dass ein Angreifer diese ohne Authentifizierung und ohne spezielle Tools abrufen konnte.

Die Auswirkungen dieser Offenlegung waren erheblich:

• Es war keine Authentifizierung notwendig, um auf die Zugangsdaten zuzugreifen.
• Die Schwachstelle existierte in clientseitigem Code, der für jeden Besucher der betroffenen Websites sichtbar war.
• Google Drive API-Zugangsdaten konnten Zugriff auf kritische Geschäftsinformationen in Cloud-Umgebungen gewähren.
• Angreifer konnten sich als legitime Service-Konten mit möglicherweise weitreichenden Berechtigungen tarnen.

Bei über 100.000 WordPress-Installationen, die WPvivid nutzen, war die potenzielle Angriffsfläche beträchtlich. Organisationen, die dieses Plugin für Backup-Vorgänge einsetzten, haben möglicherweise ungewollt ihre Cloud-Speichersysteme preisgegeben.

Versicherungstechnische Auswirkungen: Schadenhäufigkeit und Deckungsumfang

Aus Sicht der Versicherung verdeutlicht CVE-2023-5576 zwei zentrale Risikofaktoren, die die Schadenhäufigkeit und die Angemessenheit der Deckung beeinflussen:

Erweiterte Angriffsfläche durch Drittanbieter-Plugins

WordPress betreibt etwa 43 % aller Websites, weshalb die Sicherheit von Plugins ein zentraler Bestandteil des Cyber-Risikos einer Organisation ist. Wenn Plugins Zugangsdaten preisgeben oder unautorisierte Zugriffe ermöglichen, vergrößern sie die Angriffsfläche der Organisation ohne entsprechende Kontrollmechanismen.

Diese Schwachstelle zeigt, wie Lieferkettenrisiken zu versicherten Ereignissen führen können. Falls Angreifer durch offengelegte Google Drive-Zugangsdaten sensible Daten abgerufen und gestohlen haben, können Organisationen Schadensmeldungen unter ihren Cyberhaftpflicht-Policen für Reaktionskosten, Benachrichtigungsaufwendungen und behördliche Geldbußen stellen.

Umgehung der Authentifizierung und Szenarien des unautorisierten Zugriffs

Da die Schwachstelle eine Umgehung der Authentifizierung ermöglichte, fällt sie unter die typische Deckung für unautorisierten Zugriff in Cyber-Policen. Allerdings kann die Tatsache, dass die Offenlegung über ein Drittanbieter-Plugin erfolgte, Ausschlüsse auslösen, die mit mangelhafter Lieferantenüberwachung oder unzureichenden Sicherheitspraktiken zusammenhängen. Underwriter müssen sorgfältig prüfen, wie Organisationen ihre Plugin-Ökosysteme verwalten.

Underwriting-Signale: Was diese Schwachstelle über das Risikoprofil aussagt

CVE-2023-5576 liefert mehrere wichtige Erkenntnisse für das Underwriting:

Reifegrad der Lieferantensicherheit

Das Speichern von Zugangsdaten im Klartext in öffentlichen Dateien zeigt erhebliche Mängel in den Sicherheitspraktiken des Lieferanten auf. Organisationen, die sich ohne Prüfung der Sicherheit von Drittanbieter-Plugins darauf verlassen, weisen möglicherweise eine schwache Risikomanagementpraxis auf.

Underwriter sollten nach Hinweisen auf Prozesse zur Bewertung der Lieferantensicherheit suchen, u. a.:

• Bewertung der Sicherheitsdokumentation und der Bereitschaft zur Vorfallbearbeitung des Lieferanten
• Prüfung der Entwicklungs- und Secure-Coding-Praktiken des Lieferanten
• Überwachung von Sicherheitshinweisen und Patch-Zyklen des Lieferanten

Reifegrad des Patch-Managements

Obwohl WPvivid mit Version 0.9.92 eine Korrektur veröffentlichte, entstand durch die Zeit zwischen Bekanntmachung und Patch-Einsatz ein Risikofenster. Organisationen mit ausgereiften Patch-Prozessen hätten schnell reagiert, andere möglicherweise über einen längeren Zeitraum ungeschützt verblieben.

Die zeitliche Einordnung solcher Offenlegungen im Verhältnis zur Policenlaufzeit ist entscheidend für Underwriting-Entscheidungen. Bestand eine Schwachstelle während der Policenlaufzeit, erhöht sich die Wahrscheinlichkeit eines Vorfalls.

Analyse der Deckungslücken: Wo Standard-Policen möglicherweise versagen

Dieses Szenario zeigt mehrere potenzielle Deckungslücken auf:

Längere Exposition von Schwachstellen

Cyber-Policen decken in der Regel Ereignisse während der Policenlaufzeit ab. Wenn jedoch Schwachstellen wie CVE-2023-5576 monatelang bestehen, bevor sie entdeckt werden, entstehen Fragen zum tatsächlichen Beginn des Vorfalls.

Wenn Google Drive-Zugangsdaten bereits vor der Entdeckung kompromittiert wurden, wird die Bestimmung des Zeitpunkts des unautorisierten Zugriffs komplex. Einige Policen bieten rückwirkenden Schutz, oft jedoch unter strengen Bedingungen.

Begrenzte Deckung von Lieferkettenrisiken

Die meisten Cyber-Policen decken Verluste, die durch Drittanbieter-Schwachstellen entstehen, nicht explizit ab. Wenn eine Plugin-Schwachstelle zu Datenverlust durch legitimen Zugriff führt, kann die Verknüpfung zwischen Lieferantenausfall und organisatorischen Verlusten unter Standardbedingungen nicht gedeckt sein.

Organisationen sollten ihre Policen prüfen, um zu verstehen, wie Lieferkettenvorfälle behandelt werden und ob zusätzliche Ergänzungen notwendig sind.

Risikominderungsempfehlungen für Stakeholder

Für Versicherungsmakler und Underwriter

Bei der Bewertung von Cyber-Risiken für Organisationen mit Webpräsenz:

• Prüfung des Umfangs der Drittanbieter-Plugin-Nutzung und der Sicherheitspraktiken der Lieferanten
• Bewertung der Reife von Patch-Management und Incident-Response-Plänen bei Lieferkettenereignissen
• Förderung der Pflege von Bestandslisten kritischer Drittanbieter-Komponenten mit Sicherheitsdokumentation
• Sicherstellung, dass Policenbedingungen Lieferkettenvorfälle klar regeln

Für CISOs und Risikoingenieure

Strukturierte Ansätze zur Risikobewertung von Drittanbieter-Plugins und Lieferanten:

• Einführung formeller Prozesse zur Sicherheitsbewertung von Drittanbietern mit privilegiertem Zugriff
• Einsatz automatisierter Tools zur Überwachung von Plugin-Updates und Sicherheitshinweisen
• Anwendung von Netzwerksegmentierung, um die Auswirkungen kompromittierter Plugin-Zugangsdaten zu begrenzen
• Regelmäßige Bewertung der Sicherheitspraktiken kritischer Lieferanten, einschließlich Secure-Coding-Standards

Technische Umsetzungsmaßnahmen

Aus technischer Sicht sollten Organisationen:

• Öffentlich zugängliche Verzeichnisse regelmäßig auf unbeabsichtigte Offenlegung von Zugangsdaten prüfen
• Automatisierte Scan-Tools zur Erkennung von Klartext-Zugangsdaten in Quellcode und Web-Assets einsetzen
• Secure-Coding-Standards durchsetzen und Code-Reviews für alle internen und von Lieferanten entwickelten Plugins durchführen
• Überwachung auf ungewöhnliche Zugriffsmuster implementieren, die auf Missbrauch von Zugangsdaten hindeuten

Weitere Informationen zur Bewertung von Drittanbieter-Risiken und zur Stärkung der Überwachung der Lieferantensicherheit finden Sie im Third-Party Risk Management Framework von Resiliently.