skip to Main Content

Cybersecurity, vulnerabilità critica di un plugin WordPress mette a rischio siti interi

di Pierguido Iezzi

Il plugin NestGen di WordPress ha due vulnerabilità CSRF, che permettono ad attori del cybercrime di prendere il controllo totale del sito

WordPress è l’ossatura per definizione di tantissimi siti web – si calcola circa il 20%. Grazie alla sua configurabilità e bassi costi di gestione, questo CMS è leader di mercato indiscusso. Ma questa enorme configurabilità lascia spesso aperte “porte”, da dove i Criminal Hacker possono entrare; in particolare quando si parla dell’utilizzo dei plugin di terze parti. È questo il caso di plugin NextGen Gallery. Installato secondo le prime stime in oltre 800mila siti, consente agli admin di caricare le foto in lotti, importare metadati ed editare le anteprime delle immagini. I ricercatori hanno scoperto la presenza di due vulnerabilità CSRF (cross-site request forgery): una critica e una ad alta gravità. Una patch (versione 3.5.0) è stata resa disponibile il 17 dicembre 2020 e i ricercatori di cybersecurity hanno sottolineato l’importanza di aggiornare il plugin per evitare danni molto gravi. Lo sfruttamento di tali falle potrebbe, infatti, portare a prendere il controllo totale del sito, l’impostazione di redirect dannosi, phishing e tanto altro ancora.

Le vulnerabilità CSRF

Che cos’è una vulnerabilità CSRF? Con questo acronimo si fa riferimento a Cross-Site Request Forgery Flaw, una vulnerabilità che permette all’aggressore di ingannare il browser web e fargli eseguire comandi dannosi e non autorizzati. Nella versione tipo, un attacco CSRF prevede l’invio di un link alla vittima da parte degli aggressori, condito da tecniche di social engineering per convincerlo a cliccare. Una volta cliccato il link, all’utente viene inviata una richiesta contraffatta a un server, attraverso il quale l’aggressore è poi in grado di eseguire diversi comandi.

La falla in NextGen Gallery

La vulnerabilità più seria nel plugin WordPress fra le due rilevate è stata definita critica. Deriva dalla funzione di sicurezza (is_authorized_request) che viene utilizzata per proteggere varie impostazioni. Attraverso questa falla è possibile eseguire diversi tipi di attacco. Per sfruttarla, sarebbe stato sufficiente, ad esempio, convincere un amministratore a cliccare su di un link. Questa azione avrebbe inviato richieste contraffatte al fine di eseguire azioni dannose. Affinché un attacco vada a buon fine, sono necessarie 2 richieste separate. Inoltre, per ottenere il controllo del sito, è necessario che attraverso il plugin sia stato pubblicato almeno un album e che questo sia raggiungibile all’aggressore. Se il malintenzionato riesce a convincere l’admin a cliccare sul link, il file caricato a seguito di tale azione può essere incluso ed eseguito ogni qual volta la tipologia di album selezionata venisse visualizzata sul sito. Allo stesso modo, qualsiasi JavaScript incluso nel file caricato potrebbe essere eseguito. Vale la pena ricordare che, una volta che un aggressore acquisisce la capacità di eseguire codice da remoto su di un sito, ha la possibilità di prenderne il controllo totale.

La seconda vulnerabilità nel plugin

L’apparato logico che sta dietro alla seconda e meno grave vulnerabilità è molto simile a quanto appena visto. In questo caso viene sfruttata una funzione di sicurezza separata, validate ajax request, utilizzata per varie azioni AJAX fra cui quella per caricare immagini. Anche in questo caso era necessario il click di un link da parte dell’amministratore e un certo impegno nel social engineering per assicurarsi che tale click venisse eseguito ma sommando le potenzialità di questa vulnerabilità, con la prima già vista in precedenza, è facile comprendere quanto il controllo del sito sia a rischio con il plugin installato.

L’aggiornamento di NextGen Gallery alla versione 3.5.0

La compagnia che ha sviluppato NextGen Gallery, Imagely, ha pubblicato le patch per risolvere le vulnerabilità nella versione 3.5.0. Secondo i dati emessi dalla società stessa, solamente il 26,2% degli utenti ha già installato la nuova patch rendendo sicuro il plugin. Se per il tuo sito WordPress fai uso di questo plugin, ti consigliamo di installare immediatamente l’aggiornamento. In caso contrario, il tuo sito sarà vulnerabile ad attacchi come quelli descritti lungo questo articolo, con conseguenze anche di estrema gravità come la perdita totale del controllo sul sito.

Un problema noto del CMS più usato al mondo

WordPress è il CMS più popolare a livello globale. Tale sistema gestionale per contenuti può diventare soggetto ad attacchi di hacker criminali proprio in forza di vulnerabilità presenti nei plugin installabili sul CMS. Le falle descritte in questo articolo non sono le ultime ad aver fatto notizia. Ad esempio, la scorsa settimana, un bug di Contact Form 7 Style, plugin già installato in più di 50.000 siti web, avrebbe permesso l’iniezione di JavaScript dannosi nel sito target. Sempre a gennaio 2021, 2 vulnerabilità (di cui 1 critica) in un plugin di WordPress chiamato Orbit Fox sono state rilevate. Queste falle permetterebbero agli aggressori di iniettare codice dannoso in siti web vulnerabili, prendendone il controllo con modalità simili a quelle viste in questa pagina. Con politiche chiare in tema di aggiornamento degli elementi software e hardware si riducono al minimo i rischi legati a queste vulnerabilità.

Non abbassiamo la guardia!

Back To Top