Una vulnerabilità nel plugin UpdraftPlus di WordPress ha potenzialmente esposto a rischio furto le informazioni personali e i dati di autenticazione di milioni di siti Web.
Secondo quanto riportato dai ricercatori del team di Wordfence Threat Intelligence in un blog post, un eventuale sfruttamento della vulnerabilità potrebbe consentire a qualsiasi utente connesso, anche a livello di sottoscrittore, di scaricare i backup creati dal plugin. UpdraftPlus è infatti uno strumento usato per creare, ripristinare e migrare i backup di file, database, plugin e temi grafici su oltre tre milioni di installazioni attive di WordPress, comprese quelle di organizzazioni come Microsoft, Cisco e NASA.
La vulnerabilità colpisce le versioni di UpdraftPlus dalla 1.16.7 alla 1.22.2, ma subito dopo la sua scoperta gli sviluppatori l’hanno corretta con il rilascio della versione 1.22.3 o 2.22.3 per la versione Premium a pagamento.
È dunque importante procedere subito all’aggiornamento del plugin per mettere in sicurezza il proprio sito Web.
Indice degli argomenti
La vulnerabilità nel plugin UpdraftPlus di WordPress
Alla vulnerabilità nel plugin UpdraftPlus di WordPress è stato assegnato il nome in codice CVE-2022-0633 e un punteggio di gravità 8,5 su 10 nella scala CVSS.
Secondo quanto riportato in un bollettino di sicurezza pubblicato dagli stessi sviluppatori di UpdraftPlus, la vulnerabilità zero-day avrebbe potuto consentire “a qualsiasi utente loggato su un’installazione di WordPress con UpdraftPlus attivo di esercitare il privilegio di scaricare un backup esistente, un privilegio che avrebbe dovuto essere limitato ai soli utenti amministrativi”.
Durante l’analisi della vulnerabilità, i ricercatori del team di Wordfence coordinati da Marc-Alexandre Montpas sono stati in grado di eseguire un tentativo di attacco e, secondo i loro ultimi aggiornamenti, non è necessario neppure che l’attaccante inizi l’attacco mentre è in corso un backup o indovini il timestamp corretto per scaricarlo. In effetti, è stato successivamente chiarito il fatto che la scoperta riguarda anche un registro completo comprendente un nonce di backup ottenendo così vari timestamp validi: un aspetto, questo, che “rende questa vulnerabilità significativamente più sfruttabile”.
Come avviene lo sfruttamento della vulnerabilità
“UpdraftPlus è un popolare plug-in di backup per i siti WordPress e come tale ci si aspetta che il plug-in ti consenta di scaricare i backup. Una delle funzionalità implementate dal plug-in è la possibilità di inviare collegamenti per il download di backup a un’e-mail scelta dal proprietario del sito. Sfortunatamente, questa funzionalità è stata implementata in modo non sicuro, consentendo agli utenti autenticati di basso livello come anche i semplici sottoscrittori di un sito di creare un collegamento valido che consentisse loro di scaricare file di backup”, spiega Wordfence.
La funzione heartbeat di WordPress è il primo obiettivo dell’attacco. Una richiesta di heartbeat appositamente predisposta con un parametro data[updraftplus] consente a un utente malintenzionato di poter accedere a un registro di backup, inclusi un nonce di backup e un timestamp, fornendo i sottoparametri necessari che possono successivamente essere utilizzati per scaricare il backup stesso.
Il problema, secondo gli analisti, è causato dal controllo UpdraftPlus_Options::admin_page() === $pagenow.
In particolare, questo controllo può essere eluso, facendogli credere che la richiesta sia a options-general.php, mentre WordPress la percepisce ancora come una richiesta verso un endpoint consentito di admin-post.php.
Come mitigare la vulnerabilità in UpdraftPlus
Secondo John Bambenek di Netenrich, WordPress è uno dei più importanti backend per siti Web su Internet. I problemi di sicurezza derivano non tanto dal suo core ma dal suo ampio ecosistema di plugin resi disponibili da una vasta gamma di autori: dai semplici hobbisti agli sviluppatori esperti.
Il consiglio è quello di aggiornare i propri backend o lavorare affinché l’aggiornamento si possa applicare, in quanto dalle prossime ore in poi, questo sfruttamento diventerà senza dubbio diffuso.
Nel caso in cui non dovesse essere possibile implementare subito l’aggiornamento come da patch, è possibile seguire il consiglio dell’ingegnere informatico Mike Parkin che ha proposto di impostare una regola del firewall per proteggere il proprio sistema da questa vulnerabilità.
