Gli hackers approfittano di 3 plugin di Wordpress vulnerabili

Per gli utentisecurity threatsVulnerabilità

I cacciatori di vulnerabilità di Wordfence hanno recentemente scoperto alcuni gravi exploit zero-day in tre plugin di WordPress.

bugs wordpress

I cacciatori di vulnerabilità di Wordfence hanno recentemente scoperto alcuni gravi exploit zero-day in tre plugin di WordPress.

Non cominciamo tanto bene, ma la cosa peggiore è che le vulnerabilità erano già state sfruttate in passato e l’azienda le aveva scoperte per caso durante alcune recenti indagini di attacco. Questo significa che chiunque li esegua è vulnerabile e dovrebbe aggiornarsi immediatamente.

I plugin sono (con le versioni corrette):

Un plugin per prenotazioni che aiuta le piccole imprese a pianificare appuntamenti e gestire i contatti dei clienti.

Integra le immagini di Flickr ma ora è stato dismesso. Questo plugin è stato testato solo fino a WordPress 3.0.5 che ha ormai più di sei anni. Smettete subito di usarlo.

Offre una gamma di funzioni in grado di gestire le registrazioni degli utenti.

Quanto a lungo i malfattori li abbiano sfruttati non è chiaro, ma tutti sono classificati come “critici” e hanno un rating abbastanza allarmante nel sistema di valutazione delle vulnerabilità (CVSS) di 9.8. Ognuno dei tre potrebbe essere utilizzato per creare una backdoor e prendere il controllo completo di un sito vulnerabile.

Tracciarli ha richiesto un lavoro di indagine e quindi è stata una fortuna trovarli:

Gli exploit erano inafferrabili: un file dannoso sembrava venire fuori dal nulla, e anche i siti con i log degli accessi mostravano solo una richiesta POST a /wp-admin/admin-ajax.php al momento del creazione del file.

Mettere un backdoor in un sito vulnerabile è semplice come inviare l’exploit in una richiesta POST all’indirizzo end-point admin-ajax.php di WordPress AJAX o, nel caso della galleria Flickr, all’URL principale, e a quel punto è finita. Non è necessaria alcuna autenticazione o privilegio elevato.

La buona notizia è che nessuno dei tre è ampiamente utilizzato, con un numero complessivo di sole 21.000 installazioni, una cifra minuscola accanto ai decine di milioni di siti che eseguono WordPress. Inutile dire che uno dei siti che eseguono questi plugin e che non ha tenuto conto delle avvertenze potrebbe pagare un prezzo assai elevato.

I difetti del plugin di WordPress sono una preoccupazione continua ma non sono sempre una questione semplice da risolvere.

All’inizio di quest’anno 200.000 siti web sono stati colpiti da un codice dannoso di spam nascosto all’interno di un plugin denominato Display Widget, che è stato debitamente rimosso dal repository di WordPress. Se non fosse che ogni volta che è stato riammesso, il problema si è ripresentato, per ben quattro volte.

Alla fine, il plugin è stato nuovamente riammesso come versione pulita e obsoleta.

L’incidente evidenzia una debolezza nella sicurezza dei plugin di WordPress. Il nucleo di WordPress è ben mantenuto e supportato da un team di sicurezza diligente che può distribuire aggiornamenti di protezione a milioni di installazioni in automatico. L’ecosistema di plugin, una collezione di decine di migliaia di pezzi di software di terze parti che può trasformare il vostro sito in qualsiasi cosa, da un sito di lavoro a una galleria fotografica, è il selvaggio West in confronto.

In larga parte, la sicurezza del vostro sito di WordPress dipende dalla qualità dei plugin installati.

I proprietari di un sito che eseguono un plugin vulnerabile fanno affidamento sul suo autore per rispondere rapidamente ai problemi, quindi cercate software che viene manutenuto attivamente e aggiornato regolarmente. Quando gli aggiornamenti del plugin sono disponibili, le notifiche verranno visualizzate nell’interfaccia di amministrazione del vostro sito nella scheda Plugins e in Dashboard> Updates. Accedete e controllate spesso, ogni giorno, se è possibile, o pagate qualcuno che lo faccia per voi (lo stesso vale per altri software CMS come Drupal, Joomla o Magento.)

Gli host web corretti vi aggiorneranno o avvertiranno se pensano che abbiate in esecuzione un software vulnerabile. Alcune aziende specializzate di web hosting di WordPress mantengono anche le proprie liste di plugin verificati.

 

*Tratto da “Hackers pounce on 3 vulnerable WordPress plugins” di John E Dunn, Naked Security

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.