Svelate tre falle zero-day di plugin Wordpress prima che venissero corrette
Un sedicente provider di sicurezza ha rivelato i dettagli di tre falle zero-day su altrettanti plugin di Wordpress prima che venissero risolte, mettendo a repentaglio la salute di oltre 160 mila siti web ed esponendo a rischi i loro visitatori
di Andrea Bai pubblicata il 16 Aprile 2019, alle 11:21 nel canale SicurezzaDurante le ultime settimane un insieme di vulnerabilità zero-day relative ad alcuni plugin per Wordpress ha esposto almeno 160 mila siti web a compromissioni in grado di condurre, in ultima istanza, al reindirizzamento verso siti dannosi gli ignari visitatori. I plugin "incriminati" sono Yuzo Related Posts e Yellow Pencil Visual Theme Customizer, le cui vulnerabilità sono state individuate la scorsa settimana, mentre tre settimane fa è stata individuata una falla relativa al plugin Social Warfare.
Un ruolo chiave nella vicenda - oltre ad una certa latitanza nella distribuzione delle patch da parte degli sviluppatori e della loro installazione da parte degli amministratori dei siti web - è stato però giocato da un sedicente e autoproclamato "provider di sicurezza" che ha rivelato pubblicamente sul sito Plugin Vulnerabilities i dettagli delle falle, unitamente ad una serie di listati di codice proof-of-concept in grado di sfruttarle, prima della disponibilità delle patch a risoluzione del problema.
Le prime violazioni ai siti web facenti uso dei tre plugin incriminati si sono verificate nelle ore immediatamente successive alla pubblicazione dei dettagli da parte di Plugin Vulnerabilities. Lo sfruttamento delle falle individuate nei tre plugin si è verificato solamente dopo la pubblicazione dei dettagli, e in alcuni casi gli attacchi sono stati eseguiti sfruttando il codice proof-of-concept con un semplice copia/incolla.
La pubblicazione da parte di Plugin Vulnerabilities sembra essere però una forma di protesta nei confronti dei moderatori del forum di supporto di Wordrpress che, stando all'anonimo individuo che ha identificato le tre falle di sicurezza, avrebbero tenuto un comportamento inappropriato quando egli ha segnalato il problema sul forum: il suo post sarebbe infatti stato eliminato senza alcuna spiegazione. I dissapori tra Plugin Vulnerabilities e il team di moderatori del forum di supporto di Wordpress risalirebbero comunque a qualche anno addietro: secondo un post sul blog della società, almeno al 2016.
Plugin Vulnerabilities vuole comunque continuare a mantenere l'anonimato, trincerandosi dietro una dichiarazione di circostanza: "Stiamo cercando di anticipare gli hacker, dato che i nostri clienti ci pagano per avvertirli di eventuali vulnerabilità nei plugin che usano, ed è ovviamente meglio avvisarli prima che possano essere compromessi, invece che dopo". I plugin Yuzo Related Posts e Yellow Pencil Visual Theme Customize sono però stati rimossi senza spiegazioni dal catalogo plugin di Wordpress, indizio che suggerisce come la segnalazione effettuata sul forum abbia avuto comunque un qualche tipo di effetto.
Si tratta di una vicenda indubbiamente spiacevole, che insegna - o conferma - due cose: da un lato il team di sviluppo di Wordpress non ha ancora trovato un modo sufficientemente convincente ed efficace per ridurre i rischi derivanti dai problemi di sicurezza di plugin di terze parti, dall'altro quanto la poca reattività nel distribuire patch correttive possa rappresentare un problema ancor più grande. Ma questa vicenda solleva anche un allarme: rivelare pubblicamente i dettagli di una falla zero-day come forma di protesta è un comportamento altamente irresponsabile, e che potrebbe innescare episodi di emulazione con conseguenze anche particolarmente gravi.
1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoComunque la "sedicente" agenzia di sicurezza non ha tutti i torti: informare della presenza delle vulnerabilità può in realtà salvare i siti web che ne fanno uso, perchè gli amministratori possono disattivarle nell'attesa che vengano corrette. Se non fossero state rivelate i siti sarebbero potuti essere attaccati mentre gli amministratori non erano a conoscenza del problema.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".