martedì 3 ottobre 2017

Wordpress sotto attacco: plugin compromessi e vulnerabili aprono le "(back)door" agli attaccanti


In poco più di una settimana sono emerse svariate falle di sicurezza in Wordpress: non stupisce l'attenzione che alcuni cyber-criminali hanno per Wordpress, data la diffusione della piattaforma.
In questo articolo parliamo di due problemi: alcune backdoor contenute in alcuni plugin Wordpress e alcune vulnerabilità che sono state sfruttate nei giorni scorsi per installare ulteriori backdoor. 

I plugin corrotti: X-WP-SPAM-SHIELD-PRO
Alcuni ricercatori hanno individuato del codice per una backdoor PHP nel source code di un plugin Wordpress, spacciato per un tool di sicurezza, dal nome  "X-WP-SPAM-SHIELD-PRO." L'attaccante ha evidentemente provato a sfruttare la fama di un legittimo e assai popolare plugin di WordPress chiamato ""WP-SpamShield Anti-Spam".

Chi, magari confondendo i due plugin, scarica quello corrotto riceverà non un tool di sicurezza, ma una backdoor appunto che consente all'attaccante di creare un proprio account amministratore sul sito, caricare file sul server della vittima, disabilitare plugin. Invia anche all'attaccante utente, password, indirizzo IP del server e altre informazioni sensibili.

X-WP-SPAM-SHIELD-PRO, al suo interno contiene diversi elementi, tutti dannosi: ne elenchiamo alcuni.  
  • la componente principale, wp-spam-shield-pro.php, include una funzione di ping il cui unico scopo è avviare l'attaccante che il plugin è stato installato. 
  • plugin-header.php invece aggiunge un admin user rinominato mw01main.
  • class-social-facebook.php, spacciato come tool di protezione dallo spam sui social, nasconde nel codice un meccanismo finalizzato a elencare i plugin installati dall'utente e, eventualmente, a disabilitarne alcuni ecc...

Il codice responsabile della creazione dell' admin user mw01main
class-social-facebook.php: elenca i plugin installati nel sito bersaglio. Può anche disabilitarli
Le vulnerabilità 0-day 
E' accaduto Sabato: uno o più attaccanti hanno sfruttato 3 diverse vulnerabilità 0-day per installare delle backdoor su svariati siti Wordpress. Le vulnerabilità riguardano 3 diversi plugin di WordPress nel dettaglio Flickr Gallery, RegistrationMagic-Custom Registration Forms e Appointments 

Gli autori dei plugin hanno già rilasciato la patch per bloccare il vettore di attacco: una vulnerabilità di PHP object injection che riguardava, nella stessa maniera, tutt e tre i plugin. 

Le vulnerabilità, sconosciute prima dell'exploit, consentono di aprire una backdoor PHP sul sito infetto. Sono vulnerabilità, tra l'altro, facilmente sfruttabili perché basta che un attaccante impacchetti il codice di exploit entro una richiesta HTTP POST inviata al sito bersaglio. Agli attaccanti non è richiesta neppure l'autenticazione per attivare l'exploit. La facilità con la quale queste vulnerabilità possono essere sfruttate ha fruttato loro la definizione di "Vulnerabilità Critica". 

La notizia positiva è che i siti vulnerabili sono un numero limitato: 

Appointments di WPMU Dev risulta installato su 9000 siti.
Flick Gallery di Dan Coultier su 4000 siti.
RegistrationMagic-Custom Registration Forms di CMSHelpLive su 8000 siti.

Per un totale di 21.000 siti vulnerabili. 

Per risolvere la vulnerabilità consigliamo di scaricare le seguenti versioni dei plugin:

Appointments--> v. 2.2.2
Flickr Gallery--> v. 1.5.3
RegistrationMagic-Custom Registration Forms--> v.3.7.9.3 

Nessun commento:

Posta un commento