Difetto di escalation dei privilegi nel plugin WordPress WP GDPR Compliance – Siti WordPress compromessi
Estratto di articolo tradotto [qui l’originale in inglese] autorizzato da Wordfence che detiene il copyright dei testi.
Dopo la sua rimozione dal repository plugin di WordPress del 06/11/2018, il popolare plugin WP GDPR Compliance ha rilasciato la versione 1.4.3, un aggiornamento che ha corretto più vulnerabilità critiche. Al momento della stesura di questo documento, il plugin è stato ripristinato nel repository di WordPress e ha oltre 100.000 installazioni attive. Le vulnerabilità segnalate consentono ad aggressori non autenticati di ottenere un’escalation dei privilegi, consentendo loro di infettare ulteriormente i siti vulnerabili.
Qualsiasi sito che faccia uso di questo plug-in dovrebbe immediatamente aggiornare alla versione più recente, oppure disattivarlo e rimuoverlo se gli aggiornamenti non sono possibili.
La vulnerabilità – WP GDPR Compliance compromesso
Nell’uso tipico, il plugin gestisce alcuni tipi di azioni che possono essere inviate tramite la funzione admin-ajax.php di WordPress. Queste azioni includono la creazione di richieste di accesso ai dati e richieste di cancellazione richieste dal GDPR, ma includono anche funzionalità per la modifica delle impostazioni del plugin all’interno della dashboard di amministrazione di WordPress.
Tuttavia, le versioni senza patch di WP GDPR Compliance (fino alla versione 1.4.2 inclusa) non riescono a fare controlli di capacità quando si esegue l’azione interna save_setting per apportare tali modifiche alla configurazione. Se un utente malintenzionato invia opzioni e valori arbitrari a questo endpoint, i campi di input verranno archiviati nella tabella delle opzioni del database del sito interessato.
Oltre alla memorizzazione di valori di opzioni arbitrarie, il plugin esegue una chiamata do_action () utilizzando il nome e il valore dell’opzione fornita, che può essere utilizzato dagli autori di attacchi per attivare azioni WordPress arbitrarie.
Le divulgazioni di questo difetto lo hanno segnalato come due distinte vulnerabilità: prima le opzioni arbitrarie si aggiornano e in secondo luogo le chiamate all’azione arbitrarie, ma con entrambi i potenziali exploit che vivono nello stesso blocco di codice ed eseguiti con lo stesso carico utile, lo stiamo trattando come una singola vulnerabilità di escalation di privilegi.
Molti siti sono stati bucati e compromessi
In Wordfence hanno iniziato a vedere casi di siti infettati da questo vettore di attacco. In questi casi, la possibilità di aggiornare valori di opzioni arbitrari viene utilizzata per installare nuovi account di amministratore sui siti interessati. Vedi sul supporto assistenza di WordPress.
Sfruttando questa vulnerabilità per impostare l’opzione users_can_register su 1 e modificando il parametro default_role dei nuovi utenti su “administrator“, gli hacker possono semplicemente compilare il modulo su /wp-login.php?action=register e accedere immediatamente a un account privilegiato. Da questo punto, possono cambiare queste opzioni alla normalità e installare un plugin o un tema dannoso contenente una shell Web o altro malware per infettare ulteriormente il sito della vittima.
In molti dei casi analizzati dopo la divulgazione di questa vulnerabilità, Wordfence ha notato account amministratore malevoli presenti con le varianti del nome utente t2trollherten. Questo vettore di intrusione è stato anche associato alle webshells caricate denominate wp-cache.php. Mentre questi sono comuni IOC (Indicatori di compromessione), questi exploit sono ovviamente soggetti a cambiamenti mentre gli attacchi crescono in modo sofisticato.
Conclusione
Fino a quando la patch è stata rilasciata ieri, più di centomila siti WordPress che utilizzavano il plugin WP GDPR Compliance erano vulnerabili a questo tipo di attacco. È di fondamentale importanza che qualsiasi sito che utilizza questo plugin esegua l’aggiornamento il prima possibile.
Al momento, il team di Wordfence Threat Intelligence ha rilasciato una nuova regola del firewall che impedisce lo sfruttamento di questo difetto per tutti gli utenti premium. Gli utenti della versione gratuita di Wordfence riceveranno la nuova regola dopo un ritardo di trenta giorni, ma come sempre possono proteggersi aggiornando i plug-in del proprio sito.
Se ritieni che il tuo sito sia stato interessato da questa vulnerabilità (in particolar modo vedi nuovi utenti amministratore con nomi sconosciuti), procedi immediatamente ad un aggiornamento del plugin e ad un’analisi del sito (temi, plugin, database mysql).
Leggi anche lo studio sullo sviluppo della compromissione di siti WordPress
Il plugin WP GDPR è molto diffuso ed è stato di aiuto per adattare il proprio sito alle nuove regole del GDPR. Per assurdo però a causa di questo plugin i titolari dei siti colpiti dal malware entrato a causa del plugin dovranno comunicare al garante la violazione del proprio sito!
Hai un problema di sicurezza? Richiedi un preventivo
Servizi professionali a partire da 150,00 € + IVA
Se vuoi condividere la tua esperienza sul caso , commenta sotto.
Articolo apparso per la prima volta in www.fedegrafia.com il 09/11/2018, la notizia può essere condivisa attraverso link con attribuzione all’autore. Non può in ogni caso essere copiata senza autorizzazione.
Lascia un commento