Secondo grave problema di sicurezza in sei settimane per un plug-in di WordPress

Credit to Author: Sophos Italia| Date: Fri, 24 May 2019 05:57:17 +0000

Alcuni ricercatori hanno scoperto il secondo grave bug in un plugin di WordPress questo mese che potrebbe portare alla compromissione di massa dei siti web WordPress.

Il bug nel plugin WP Live Chat Support consente agli aggressori di inserire il proprio codice nei siti web che lo eseguono. La scoperta avviene a sole 6 settimane dall’individuazione di un bug nello stesso plugin che consentiva agli aggressori di eseguire codice sui siti Web interessati.

WP Live Chat Support è un plug-in di terze parti open source per WordPress che consente agli utenti di installare funzionalità di chat dal vivo sui propri siti per il supporto clienti. A quanto afferma la sua pagina WordPress ad oggi sono oltre 60.000 le installazioni attive del software.

Secondo Sucuri, la vulnerabilità si trova in un hook admin_init non protetto. Un hook è un modo per interagire con un pezzo di codice e cambiarne un altro.

WordPress richiama l’hook admin_init ogni volta che qualcuno visita la pagina di amministrazione di un sito WordPress e gli sviluppatori, a quel punto, possono usarlo per richiamare varie funzioni.

Il problema è che admin_init non richiede l’autenticazione, il che significa che chiunque visiti l’URL dell’amministratore può provocarne l’esecuzione. L’hook di amministrazione di WP Live Chat richiama un’azione chiamata wplc_head_basic, che aggiorna le impostazioni del plugin senza controllare i privilegi dell’utente.

Un utente malintenzionato non autenticato potrebbe utilizzare questa vulnerabilità per aggiornare un’opzione JavaScript denominata wplc_custom_js. Questa opzione controlla il contenuto che il plug-in visualizza ogni volta che viene mostrata la finestra di supporto della chat dal vivo. I ricercatori affermano che un hacker può inserire il codice JavaScript malevolo in più pagine su un sito Web basato su WordPress.

Questa non è la prima volta che WP Live Chat ha dovuto patchare il suo plugin. L’anno scorso, i suoi sviluppatori hanno rilasciato la patch per CVE-2018-12426, un bug che permetteva agli utenti di caricare script PHP sul sito ed eseguire il codice da remoto.

Ad aprile, Alert Logic ha rilevato che il plugin era ancora vulnerabile anche dopo la patch. Secondo i ricercatori, gli sviluppatori hanno preferito scrivere il proprio codice di caricamento dei file piuttosto che affidarsi al codice integrato di WordPress.

Il supporto di WP Live Chat ha corretto il bug di inserimento JavaScript nella versione 8.0.27 e il bug di caricamento del file nella 8.0.29, rilasciata il 15 maggio 2017. I proprietari di siti Web dovrebbero ora applicare le patch, afferma Sucuri:

Le aggressioni non autenticate sono molto serie perché possono essere automatizzate, rendendo facile per gli hacker lanciare attacchi efficaci e diffusi contro siti Web vulnerabili. Il numero di installazioni attive, la facilità di utilizzo e gli effetti di un attacco di successo sono ciò che rende questa vulnerabilità particolarmente pericolosa.

Tuttavia, alcuni utenti si sono lamentati per il fatto di non essere in grado di aggiornarsi. La pagina di WP Live Chat nella directory dei plugin di WordPress afferma di essere chiusa alle nuove installazioni. Nel suo forum di supporto, l’utente Tiiunder ha scritto:

Non riesco più ad aggiornare il plug-in, cosa necessaria a causa della vulnerabilità verificatasi negli ultimi giorni. Se mi collego ottengo il messaggio: questo plugin non è più disponibile per le nuove installazioni.

Altri hanno riportato lo stesso problema, compreso un utente che si lamentava del fatto che il plugin fosse parte di un tema WordPress che avevano acquistato.

Non siamo stati in grado di ottenere una risposta dall’azienda tramite diversi canali, ma la scorsa settimana, su Twitter, essa ha sollecitato le persone ad aggiornarsi. Il suo blog menziona il fatto che recentemente la società ha fuso le versioni gratuite e pro del plugin e rimanda a una guida all’installazione.

http://feeds.feedburner.com/sophos/dgdY