Secondo gli esperti potrebbe consentire di prendere il controllo del sito web e di eseguire un codice malevolo
Sette mesi fa, gli esperti di sicurezza dell’azienda RIPS Technologies hanno scoperto una vulnerabilità presente in tutte le versioni di WordPress, e che purtroppo ad oggi non è stata ancora risolta.
La vulnerabilità potrebbe essere sfruttata per ottenere il competo controllo del sito web basato sul popolare CMS ed eseguire codice malevolo. E’ facile comprendere la gravità del problema se consideriamo il potenziale impatto della vulnerabilità, WordPress è oggi il CMS più popolare e, secondo w3tech , è utilizzato da circa il 30% di tutti i siti Web.
Leggi anche: 10 appuntamenti della comunità cyber italiana
Un prerequisito per lo sfruttamento della vulnerabilità è che l’attaccante disponga dei privilegi per modificare ed eliminare file multimediali sul sistema. La vulnerabilità non può essere sfruttata in attacchi massicci perché richiede la disponibilità di un account utente sull’istanza del CMS preso di mira.
“La vulnerabilità è stata segnalata 7 mesi fa al team di sicurezza di WordPress, ma rimane ancora senza patch.” Si legge in un’analisi pubblicata da RIPS Technologies.
“Pertanto, la vulnerabilità può essere utilizzata per elevare i privilegi ottenuti attraverso l’acquisizione di un account con un ruolo di livello basso come Autore o sfruttando un’altra vulnerabilità / errata configurazione”
Leggi anche: La classifica delle minacce e vulnerabilità dei dispositivi mobile
La vulnerabilità in oggetto è tecnicamente definita come una “file deletion vulnerability” ovvero una falla che può essere sfruttata per eliminare qualunque file dell’installazione di WordPress, nonché per la cancellazione di ogni altro file sul server su cui l’utente del processo PHP disponga delle autorizzazioni appropriate per eliminare un file.
Ci si trova dinanzi ad una simile falla quando è possibile fornire un input non sanitizzato ad una funzione per l’eliminazione di file.
Il difetto risiede nel nucleo di WordPress, il codice affetto dal problema è stato individuato nel file wp-include / post.php
Nella immagine precedente è riportata la funzione wp_delete_attachement () che consente la cancellazione di un file multimediale. Purtroppo. la funzione non controlla l’input ad esso passato e potrebbe consentire l’eliminazione anche di file dell’installazione WordPress qualora si passi il loro percorso alla funzione.
Sfruttando il problema si potrebbe cancellare l’intera installazione di WordPress e persino eseguire codice arbitrario sul server.
Gli esperti hanno sottolineato che l’attaccante può eliminare i seguenti file:
* .htaccess che potrebbe includere in alcuni casi dei vincoli di sicurezza (ad esempio, vincoli di accesso ad alcune cartelle).
* file index.php utilizzati per impedire che l’attaccante possa elencare i file nelle cartelle di WordPress.
* wp-config.php che contiene le credenziali del database.
RIPS Technologies ha segnalato la vulnerabilità a WordPress a novembre 2017, attraverso il programma di bug bounty gestito da HackerOne. Inizialmente il team di WordPress stimò la disponibilità di una patch in sei mesi, ma ad oggi nessuna correzione è stata rilasciata. Gli esperti hanno pubblicato un video PoC dell’attacco che mostra come eliminare il file wp-config.php, che contiene le credenziali del DB, per forzare il processo di installazione di WordPress alla successiva visita al sito web. L’installazione di WordPress funziona come se non fosse ancora stata installata l’istanza di WordPress e l’attaccante potrebbe abusare di questo stato per eseguire codice arbitrario.
“Un utente malintenzionato può eliminare questo file, avviare il processo di installazione con credenziali di sua scelta per l’account amministratore e, infine, eseguire codice arbitrario sul server.”
I ricercatori hanno fornito un soluzione che può essere integrata dagli amministratori in installazioni WordPress esistenti aggiungendolo al file functions.php del tema attivo.
La soluzione verifica che i dati passati alla funzione di cancellazione dei file multimediali non possano riferire percorsi relativi a file di sistema o dell’istanza di WordPress.
“La correzione fornita deve essere vista come una soluzione temporanea al fine di prevenire gli attacchi. Non possiamo controllare tutti i possibili problemi di retrocompatibilità con i plugin di WordPress e consigliamo di apportare eventuali modifiche ai file WordPress con cautela” conclude RIPS Technologies.
Questa tipologia di problemi andrebbe risolta immediatamente, gruppi di criminali potrebbero beneficiare del problema per compromettere istanze di WordPress ed utilizzarle per diverse finalità illegali, come distribuzione di malware oppure mining di criptovalute.
