Tre plug-in di WordPress hanno attirato l'attenzione questo mese dopo che i ricercatori hanno riscontrato gravi vulnerabilità in essi e i numeri fanno riflettere, in quanto questi plugin sono stati installati su più di 400, 000 siti Web, con utenti troppo aperti per essere ignorati dagli attacchi informatici.

I tre plugin sotto i riflettori erano InfiniteWP, WP Time Capsule, e plug-in di ripristino del database WP.

ZDNet è stato uno dei siti di osservazione tecnologica che ha spinto i lettori all'azione:"Se usi questi plugin dovresti aggiornare immediatamente poiché la protezione firewall non funzionerà".

HotHardware Brittany Goetting ha offerto altri numeri cupi. Ci sono più di 50, 000 plugin da girare e non tutti sono uguali, lei scrisse.

Dei tre sotto i riflettori, si può anche iniziare con la vulnerabilità di bypass dell'autenticazione nel client InfiniteWP. Sicurezza nuda lo ha descritto come uno strumento che consente agli amministratori di gestire più siti WordPress dalla stessa interfaccia.

Gli amministratori che supervisionano i siti utilizzano InfiniteWP Client.

almeno 300, 000 di siti potrebbero essere stati interessati dalla vulnerabilità, Gotting ha detto.

Il plugin, è stato trovato, mancavano alcuni controlli autorizzativi. "Sei vulnerabile se stai usando versioni di InfiniteWP Client fino a 1.9.4.4, e di conseguenza gli utenti del plug-in dovrebbero aggiornare i propri siti alla versione 1.9.4.5 il prima possibile, " lei scrisse.

Il blog di Wordfence (Wordfence è un prodotto di una società chiamata Defiant) ha affermato che si trattava di una vulnerabilità di autenticazione critica. "Questa mattina è stato pubblicato un proof of concept, 14 gennaio 2020. Se stai utilizzando il client InfiniteWP versione 1.9.4.4 o precedente, ti consigliamo di aggiornare immediatamente la tua installazione per proteggere il tuo sito."

Dan Goodin in Ars Tecnica ha anche descritto la gravità della vulnerabilità di bypass dell'autenticazione nel plugin InfiniteWP Client.

"Consente agli amministratori di gestire più siti Web da un singolo server. Il difetto consente a chiunque di accedere a un account amministrativo senza alcuna credenziali. Da lì, gli aggressori possono cancellare i contenuti, aggiungere nuovi account, ed eseguire una vasta gamma di altre attività dannose".

La società di sicurezza WebARX ha segnalato InfiniteWP Client, e un'altra vulnerabilità, Capsula del tempo WP.

WP Time Capsule è stato progettato per semplificare il backup dei dati del sito Web.

Ars Tecnica segnalato che il bug era stato corretto nella versione 1.21.16. "I siti che eseguono versioni precedenti dovrebbero essere aggiornati immediatamente. La società di sicurezza Web WebARX ha maggiori dettagli." disse Ars .

ZDNet parlato di WP Time Capsule; Charlie Osborne in ZDNet ha detto che WP Time Capsule era attivo su almeno 20, 000 domini, secondo la libreria dei plugin di WordPress.

Il plugin WP Database Reset ha ricevuto molta attenzione, con quasi 80, 000 siti che utilizzano il plugin, che aiuta gli utenti a ripristinare i propri database o parti di database alle impostazioni predefinite.

Wordfence:"Il 7 gennaio, il nostro team di intelligence sulle minacce ha scoperto vulnerabilità in WP Database Reset, un plugin WordPress installato su oltre 80, 000 siti web. Uno di questi difetti consentiva a qualsiasi utente non autenticato di ripristinare qualsiasi tabella dal database allo stato di configurazione iniziale di WordPress, mentre l'altro difetto consentiva a qualsiasi utente autenticato, anche quelli con permessi minimi, la possibilità di concedere i privilegi amministrativi al proprio account eliminando tutti gli altri utenti dalla tabella con una semplice richiesta."

Il plugin inizialmente non includeva i controlli di sicurezza adeguati. "Una vulnerabilità ha consentito agli aggressori di ripristinare qualsiasi tabella e causare una perdita di disponibilità dei dati, " ha scritto Goetting. "Un'altra vulnerabilità ha permesso a qualsiasi abbonato di prendere il pieno controllo del sito Web e cacciare tutti gli amministratori. Entrambi i difetti sono stati fortunatamente corretti con la versione 3.15. Ovviamente i ricercatori sulla sicurezza incoraggiano anche gli utenti a eseguire sempre il backup dei propri siti".

Sergiu Gartlan per BleepComputer prestato attenzione anche a quella scoperta. "Bug critici trovati nel plug-in di ripristino del database di WordPress ...consentono agli aggressori di eliminare tutti gli utenti e di essere automaticamente elevati a un ruolo di amministratore e di ripristinare qualsiasi tabella nel database."

Il blog Wordfence ha emesso questo consiglio, visto che questi erano considerati problemi di sicurezza critici che potevano causare il ripristino completo del sito e/o l'acquisizione. "Consigliamo vivamente di eseguire immediatamente l'aggiornamento all'ultima versione (3.15)."

cosa ha fatto? Ars Tecnica concludere sui tre plugin, Infinito WP, WP Time Capsule, e ripristino del database WP? Avevano poche parole e queste venivano facilmente:"È ora di rattoppare".

I commenti dei lettori su Ars cercavano di individuare la fonte dei problemi. "Il problema, "ha detto un lettore, "è quando gli amministratori del sito installano 10, 000 plugin, ognuno dei quali diventa un nuovo vettore per l'attacco."

Dove l'hanno sentito gli utenti prima? Revisione aziendale del computer , a giugno, ha dichiarato che "i plugin di WordPress sono ampiamente considerati una delle maggiori minacce alla sicurezza per gli utenti di WordPress".

Non ci sono prove che nessuno dei tre plugin vulnerabili venga attivamente sfruttato in natura, disse Goodin.

© 2020 Scienza X Rete