Secondo grave problema di sicurezza in sei settimane per un plug-in di WordPress

Alcuni ricercatori hanno scoperto il secondo grave bug in un plugin di WordPress questo mese che potrebbe portare alla compromissione di massa dei siti web WordPress.

Il bug nel plugin WP Live Chat Support consente agli aggressori di inserire il proprio codice nei siti web che lo eseguono. La scoperta avviene a sole 6 settimane dall’individuazione di un bug nello stesso plugin che consentiva agli aggressori di eseguire codice sui siti Web interessati.

WP Live Chat Support e un plug-in di terze parti open source per WordPress che consente agli utenti di installare funzionalita di chat dal vivo sui propri siti per il supporto clienti. A quanto afferma la sua pagina WordPress ad oggi sono oltre 60.000 le installazioni attive del software.

Secondo Sucuri, la vulnerabilita si trova in un hook admin_init non protetto. Un hook e un modo per interagire con un pezzo di codice e cambiarne un altro.

WordPress richiama l’hook admin_init ogni volta che qualcuno visita la pagina di amministrazione di un sito WordPress e gli sviluppatori, a quel punto, possono usarlo per richiamare varie funzioni.

Il problema e che admin_init non richiede l’autenticazione, il che significa che chiunque visiti l’URL dell’amministratore puo provocarne l’esecuzione. L’hook di amministrazione di WP Live Chat richiama un’azione chiamata wplc_head_basic, che aggiorna le impostazioni del plugin senza controllare i privilegi dell’utente.

Un utente malintenzionato non autenticato potrebbe utilizzare questa vulnerabilita per aggiornare un’opzione JavaScript denominata wplc_custom_js. Questa opzione controlla il contenuto che il plug-in visualizza ogni volta che viene mostrata la finestra di supporto della chat dal vivo. I ricercatori affermano che un hacker puo inserire il codice JavaScript malevolo in piu pagine su un sito Web basato su WordPress.

Questa non e la prima volta che WP Live Chat ha dovuto patchare il suo plugin. L’anno scorso, i suoi sviluppatori hanno rilasciato la patch per CVE-2018-12426, un bug che permetteva agli utenti di caricare script PHP sul sito ed eseguire il codice da remoto.

Ad aprile, Alert Logic ha rilevato che il plugin era ancora vulnerabile anche dopo la patch. Secondo i ricercatori, gli sviluppatori hanno preferito scrivere il proprio codice di caricamento dei file piuttosto che affidarsi al codice integrato di WordPress.

Il supporto di WP Live Chat ha corretto il bug di inserimento JavaScript nella versione 8.0.27 e il bug di caricamento del file nella 8.0.29, rilasciata il 15 maggio 2017. I proprietari di siti Web dovrebbero ora applicare le patch, afferma Sucuri:

Le aggressioni non autenticate sono molto serie perche possono essere automatizzate, rendendo facile per gli hacker lanciare attacchi efficaci e diffusi contro siti Web vulnerabili. Il numero di installazioni attive, la facilita di utilizzo e gli effetti di un attacco di successo sono cio che rende questa vulnerabilita particolarmente pericolosa.

Tuttavia, alcuni utenti si sono lamentati per il fatto di non essere in grado di aggiornarsi. La pagina di WP Live Chat nella directory dei plugin di WordPress afferma di essere chiusa alle nuove installazioni. Nel suo forum di supporto, l’utente Tiiunder ha scritto:

Non riesco piu ad aggiornare il plug-in, cosa necessaria a causa della vulnerabilita verificatasi negli ultimi giorni. Se mi collego ottengo il messaggio: questo plugin non e piu disponibile per le nuove installazioni.

Altri hanno riportato lo stesso problema, compreso un utente che si lamentava del fatto che il plugin fosse parte di un tema WordPress che avevano acquistato.

Non siamo stati in grado di ottenere una risposta dall’azienda tramite diversi canali, ma la scorsa settimana, su Twitter, essa ha sollecitato le persone ad aggiornarsi. Il suo blog menziona il fatto che recentemente la societa ha fuso le versioni gratuite e pro del plugin e rimanda a una guida all’installazione.

Latest Posts