Was ist CVE-2024-10924?

Ein Authentifizierungs-Bypass im Really-Simple-Security-Plugin (vormals Really Simple SSL) in den Versionen 9.0.0 bis 9.1.1.1. Wenn 2FA aktiviert war, erlaubte ein Logik-Fehler im REST-API-User-Login-Handler einem unauthentifizierten Angreifer, sich als beliebiger Nutzer auszugeben — Administratoren inklusive.

Wie viele Seiten waren betroffen?

Really Simple Security hat etwa vier Millionen aktive Installationen. Der verwundbare Code-Pfad war nur aktiv, wenn 2FA im Plugin aktiviert war, aber der gepatchte Versionsbereich deckte jede Installation ab, die in diesem Zeitfenster aktualisiert hat.

Ich habe nach der Offenlegung gepatcht. War das genug?

Patching closes the door for new attempts. It does not undo a successful intrusion. If the site was vulnerable for any window after public disclosure in November 2024, treat it as compromised until you have verified there are no sleeper admins, no unfamiliar files, and no autoloaded options that you didn't create.

Was machen Angreifer nach einem erfolgreichen Login?

Standard-Playbook: einen schlafenden Admin anlegen, eine Backdoor in einer Plugin- oder Theme-Datei platzieren, eine Web-Shell in wp-content/uploads/ ablegen und entweder ein schädliches Plugin installieren oder ein bereits installiertes aktivieren. Die Seite läuft weiter normal; der Angreifer kommt später zurück.

// CVE-2024-10924 · AUTH-BYPASS · 4 MIO SEITEN

Really Simple Security cleanup.

Auth-Bypass in Really Simple Security (CVE-2024-10924) — 4 Mio. Seiten betroffen. Wir bereinigen manuell. Festpreis $279.

Bereinigung starten → Über den Bug

§ 01 — WAS DER BUG WAR

Authentifizierungs-Bypass über den 2FA-REST-Endpoint.

Really Simple Security exponierte eine REST-Route, die den Zwei-Faktor-Login-Flow abschließt. Der Handler akzeptierte eine user_id aus dem Request und authentifizierte den Aufrufer als diesen Nutzer, ohne zu prüfen, ob der erste Faktor erfolgreich war. Ein unauthentifizierter Angreifer konnte user_id=1 anfragen und war als Seiten-Administrator eingeloggt.

Betroffene Versionen: 9.0.0 bis 9.1.1.1. Gepatcht in 9.1.2. Der verwundbare Code-Pfad war aktiv, wenn das 2FA-Feature des Plugins aktiviert war — der Patch wurde als erzwungenes Auto-Update ausgerollt, und die Offenlegung war öffentlich, sodass Angriffsaktivität sofort einsetzte.

§ 02 — WORAUF WIR ACHTEN

Wo Angreifer nach erfolgreichem Login Spuren hinterlassen.

[ NUTZER ]
Administrator-Konten, die im Offenlegungs-Zeitfenster (nach 2024-11-12) angelegt wurden. wp_users.user_registered mit deinen Aufzeichnungen abgleichen.
[ DATEIEN ]
Kürzlich modifiziertes PHP in wp-content/plugins/, wp-content/mu-plugins/, wp-content/themes/active-theme/ und jedes PHP in wp-content/uploads/.
[ OPTIONS ]
Seit der Offenlegung hinzugekommene wp_options-autoload-Zeilen; verdächtige base64-codierte Werte; unerwartete active_plugins-Einträge.
[ ZUGRIFFSLOG ]
POSTs an /wp-json/reallysimplessl/v1/two_fa/skip_onboarding (und verwandte Routen). Viele Requests mit Status 200 aus einer kleinen Gruppe von IPs.

§ PREISE

Pauschal $279. Einmalig. Pro Seite.

[ RESCUE ]

$279

PAUSCHAL · EINMALIG · PRO SEITE

Manual cleanup, entry-vector identification, written forensic report.

Bereinigung starten →

[ SHIELD ]

$29 / mo

PRO SEITE · JEDERZEIT KÜNDBAR

Laufendes Monitoring, Absicherung, eine Bereinigung pro Jahr inklusive.

Schützen lassen →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Alle Leistungen ansehen →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Kontakt →