WordPress website beheerders die de WP Slimstat Web analytics plugin gebruiken worden geadviseerd om deze zo spoedig mogelijk te updaten. De plugin wordt geteisterd door een ernstige kwetsbaarheid die kan worden benut om in te breken in de database van de site.

WP Slimstat maakt gebruik van een geheime sleutel om de gegevens tussen de client en de server te versleutelen. Het probleem, volgens onderzoekers van Sucuri, is dat de geheime sleutel een hash is van de installatie 'timestamp'. Deze kan gemakkelijk worden gekraakt met een bruteforce aanval.

Een aanvaller kan diensten zoals het Internet Archive gebruiken het jaar waarin de website gelanceerd werd te bepalen. De onderzoekers merkten op dat zodra het jaar wordt vastgesteld, de aanvaller zo ongeveer 30 miljoen waarden moet testen. Dit is een taak die een moderne CPU binnen 10 minuten kan uitvoeren.

"Het enige stuk wat ontbreekt om de timestamp met bruteforce te kraken is valide & getekende informatie afkomstig van de plugin om de gegenereerd handtekeningen te vergelijken. Deze is te vinden op meerdere plaatsen binnen de website, inclusief de homepage. Hierdoor is het proces om hem te vinden makkelijker." verteld Marc-Alexandre Montpas, senior security onderzoeker bij Sucuri, in zijn blogpost.

Na verder onderzoek, ontdekten ze dat het lek kan worden benut voor 'blind SQL injectie aanvallen'. Een kwaadwillende hacker zou de bug gebruiken om toegang tot gebruikersnamen, wachtwoord-hashes en andere informatie uit de database te krijgen.

Het beveiligingslek treft WP Slimstat 3.9.5 en eerder. De kwestie is aangekaart in versie 3.9.6. Met de release van WP Slimstat 3.9.6 is het lek gepached. De ontwikkelaar heeft geen verdere stappen gezet om gebruikers tegen SQL injectie aanvallen te beschermen!

"De veiligheid van de gegevens van onze gebruikers is onze hoogste prioriteit, en om deze reden zijn onze SQL queries aangescherpt. Ook is de encryptiesleutel moeilijker te raden. Ook als u gebruik maakt van Slimstat om externe websites te volgen,  vervang dan de tracking code door een nieuwe. Deze zijn beschikbaar onder Instellingen> Geavanceerd, " wordt door  de ontwikkelaar opgemerkt.

WP Slimstat is inmiddels al meer dan 1,3 miljoen keer gedownload van de officiële WordPress website. Het is belangrijk dat gebruikers hun site bijwerken. Het is niet ongebruikelijk dat WordPress plugin kwetsbaarheden door hackers worden benut. Denk hierbij aan het eerder deze maand genoemde zero-day lek in de FancyBox plugin.

Technische details
Het is mogelijk om de geheime sleutel te raden:

Meer details kun je vinde op de securi blog