Jouko Pynnöen, ricercatore per la società di sicurezza informatica finlandese Klikki Oy, ha individuato e reso nota una falla 0-day che interessa una parte del core engine del sistema di gestione dei contenuti WordPress.
La falla rende i siti web che fanno uso di WordPress vulnerabili alla possibilità di esecuzione remota di codice sul web server per prenderne il pieno controllo.
La falla è di tipo Cross-Site Scripting ed è stata individuata all'interno del codice relativo al sistema di commenti di WordPress, le versioni del CMS interessate dal problema sono la 3.9.3, la 4.1.1, la 4.1.2 e la recente versione 4.2.
Pynnöen ha rivelato i dettagli della vulnerabilità, assieme ad un video e a una parte di codice proof-of-concept per sfruttare la falla, la scorsa domenica prima che il team di WordPress potesse rilasciare una patch. Il ricercatore ha voluto rendere nota la falla per mettere in guardia gli utenti di WordPress e perché per mesi ha tentato di comunicare al team di sviluppo del popolare CMS il problema, senza ricevere alcun riscontro. Inoltre gli sviluppatori WordPress hanno risolto questa settimana un'altra vulnerabilità simile, che però era stata notificata da Pynnöen circa 14 mesi fa.
La vulnerabilità permette ad un qualsiasi hacker di immettere codice JavaScript nella sezione dei commenti che appare al termine delle milioni di pagine di blog e siti di informazione che fanno uso di WordPress. Si tratta di un'azione che dovrebbe essere interdetta in circostanze normali. Questo però può portare l'attaccante a cambiare password, aggiungere nuovi amministratori o compiere altre azioni che di norma potrebbero essere condotte solamente dal legittimo amministratore del sito.
L'esempio di attacco elaborato da Pynnöen invia un semplice codice JavaScript come commento, aggiungendo 66 mila caratteri o superando i 64KB di dimensione. Se il commento testuale supera queste dimensioni, verrà troncato quando inserito nel database. La troncatura del commento va a compromettere la generazione del codice HTML, lasciando la possibilità di integrare comandi con commenti successivi. Quando il commento viene processato da qualcuno che ha i diritti di amministratore con WordPress, il codice viene eseguito senza dare alcuna indicazione all'amministratore e lasciando così all'attaccante la possibilità di penetrare il sito.
Se di default, WordPress non pubblica automaticamente il commento di un utente ad un post, fino a quando l'utente è stato approvato dall'amministratore del sito, gli hacker possono scavalcare questa limitazione, ingannando l'amministratore, prima con un commento innocuo, poi, una volta approvato, attraverso l'invio di altri commenti dannosi, che verrebbero quindi automaticamente approvati e pubblicati.
La Società che gestisce i blog ha provveduto a rilasciare una patch per eliminare la vulnerabilità, consigliando l'installazione della versione di WordPress 4.2.1, rilasciata poche ore fa, e di aggiornare tutti gli eventuali plug-in.
A partire dalla versione 3.7, WordPress ha introdotto gli aggiornamenti automatici: se correttamente configurati la versione 4.2.1 dovrebbe già essere stata installata.
0 commenti:
Posta un commento