Ein selbstverbreitender JavaScript-Wurm verursachte heute einen Sicherheitsvorfall auf Wikipedia und mehreren anderen Wikimedia-Projekten, indem er Seiten beschädigte und Benutzer-Skripte modifizierte. Die Wikimedia Foundation sperrte vorübergehend die Bearbeitungsfunktion, um die Attacke zu bekämpfen und Änderungen rückgängig zu machen.
Die Wikimedia Foundation war heute Ziel eines Sicherheitsvorfalls, bei dem ein selbstverbreitender JavaScript-Wurm zahlreiche Seiten beschädigte und Benutzer-Skripte über mehrere Wiki-Projekte hinweg manipulierte.
Erst auf Wikipedias Meldungsseite für technische Angelegenheiten wurden Redakteure auf das Problem aufmerksam, nachdem automatisierte Bearbeitungen vermehrt versteckte Skripte und Vandalismus auf zufälligen Seiten hinterließen. Die Wikimedia-Ingenieure reagierten schnell, indem sie die Bearbeitungsfunktion projektübergreifend vorübergehend einschränkten, während sie die Attacke untersuchen und rückgängig machen ließten.
Laut Eintrag im Wikimedia-Fehlerverfolger Phabricator wurde der Vorfall durch ein bösartiges Skript ausgelöst, das auf der russischsprachigen Wikipedia gehostet war und danach eine globale JavaScript-Datei auf Wikipedia mit Malware infizierte.
Das verdächtige Skript stammte von User:Ololoshka562/test.js und war bereits im März 2024 hochgeladen worden. Es wird mit Skripten in Verbindung gebracht, die in früheren Angriffen auf Wiki-Projekte zum Einsatz kamen.
Nach Recherchen auf Basis von Bearbeitungshistorien wurde das Skript heute erstmals von einem Wikimedia-Mitarbeiterkonto während Tests von Benutzer-Skript-Funktionen ausgeführt. Unklar bleibt, ob dies absichtlich geschah, aus Versehen während der Tests passierte oder durch ein kompromittiertes Konto ausgelöst wurde.
Die Analyse des Skripts offenbart dessen gefährliche Funktionsweise: Es verbreitet sich selbst durch das Einschleusen von bösartigen JavaScript-Loadern sowohl in die common.js-Datei des angemeldeten Benutzers als auch in die globale MediaWiki:Common.js-Datei, die von allen Nutzern ausgeführt wird. Diese JavaScript-Dateien werden in den Browsern der Redakteure ausgeführt und dienen zur Anpassung der Wiki-Oberfläche.
Sobald das Test-Skript im Browser eines Redakteurs geladen war, versuchte es, zwei Skripte mit dessen Sitzungs- und Berechtigungen zu modifizieren. War die globale Datei erfolgreich verändert, würde jeder, der sie lädt, automatisch den Loader ausführen – und das Spiel beginnt von vorne. Der Wurm verbreitete sich auch durch automatische Änderungen zufälliger Seiten mittels des Special:Random-Befehls.
Die Auswirkungen waren erheblich: Etwa 3.996 Seiten wurden manipuliert, und rund 85 Benutzer hatten ihre common.js-Dateien ersetzt. Die genaue Anzahl gelöschter Seiten ist unbekannt.
Die Wikimedia-Ingenieure sperrten daraufhin projektübergreifend das Bearbeiten, während sie die bösartigen Änderungen rückgängig machten und alle Verweise auf die injizierten Skripte entfernten. Zahlreiche Mitarbeiter rollten auch die common.js-Dateien vieler Benutzer zurück. Diese Seiten wurden anschließend aus den Änderungshistorien entfernt.
Zum Zeitpunkt des Schreibens ist der injizierte Code entfernt und Bearbeitungen sind wieder möglich. Allerdings hat die Wikimedia Foundation noch keinen detaillierten Bericht zur Sicherheitsanlage veröffentlicht, der erklärt, wie genau das dormante Skript ausgeführt wurde oder wie weit sich der Wurm verbreitete, bevor er gestoppt wurde. Die Stiftung reagierte bislang auch nicht auf Anfragen zur Vorfall-Aufklärung.
Quelle: BleepingComputer