Ancora problemi (ma questo è bello grosso) per Wordpress: milioni di siti vulnerabili ad un exploit SQL injection.
C'è un famoso e diffuso plugin per Wordpress installato su più di un milione di siti web che produce una gravissima vulnerabilità in SQL. Il Plugin si chiama NextGEN Gallery ed è così popolare da avere esso stesso un set di plugin. Questo plugin determina una grave vulnerabilità "SQL Injection" che potrebbe consentire ad un attaccante di rubare i dati contenuti nel database del sito web. Sucuri, agenzia di ricerca che ha condotto lo studio su questa vulnerabilità, ha dato una valutazione di rischio di questa vulnerabilità pari a 9 su 10 (critical risk), anche tenendo di conto il fatto che è sfruttabile anche da attaccanti non particolarmente abili.
Sono due le opzioni di configurazione per i plugin NextGEN Gallery che rendono i siti Wordpress vulnerabili agli attacchi.
Primo scenario di attacco:
Il primo scenario di attacco si ha se il proprietario del sito Wordpress attiva l'opzione NextGEN Basic TagCloud Gallery sul proprio sito. Questa funzione premette al proprietario del sito di mostrare gallerie di immagini nelle quali gli utenti possono navigare via tag. Il clic su uno di questi tag modifica l'URL del sito mentre l'utente naviga nella gallery.
Sucuri afferma che un attacco può modificare i parametri del link e inserire query SQL che possono essere eseguite dal plugin quando l'attaccante carica l'URL "malformato". Ciò avviene a causa di impropri input per la "ripulitura" dei parametri dell' URL, un problema nei fatti molto diffuso sulle app web WordPress e non Wordpress.
Secondo scenario di attacco
Il secondo scenario si profila se il proprietario del sito web consente la possibilità ai propri lettori di inviare post modificabili (ovvero se si invitano collaboratori). Visto che gli attaccati possono creare account sul sito e inviare blog/post per la revisione, possono anche inserire shortcode manomessi nel NextGEN Gallery.
Ad esempio uno shortcode come questo sotto, potrebbe essere usato per attaccare il sito
[querycode1][any_text1]%1$%s[any_text2][querycode2]
Il problema sta in come le funzioni interne del plugin maneggiano questo codice. Ad esempio %s verrà convertito in '%s' e ciò può effettivamente "rompere" la query SQL nella quale questa stringa è inserita. Ciò può consentire ad un attaccante di aggiungere codice SQL dannoso e metterlo in esecuzione nel backend del sito. Se l'attaccante avrà sufficienti conoscenze e abilità, potrà guadagnarsi l'accesso al database del sito e rubare le informazioni personali dell'utente.
Il problema è già stato risolto, ma nessuno lo sà
Sucuri dice anche che già settimana scorsa gli autori del plugin NextGEN Gallery hanno risolto il problema nella versione 2.1.79, il problema sta nel fatto che la notizia è stata pubblicizzata in una maniera che non rende chiara la necessità impellente di eseguire l'upgrade della versione. Infatti la notizia viene presentata genericamente col titolo "Changed: tag display adjustement".
Nessun commento:
Posta un commento