Duplicator: 1 milione di siti a rischio
Secondo quanto riferito il 19 febbraio dalla società di sicurezza Defiant, oltre 1 milione di siti WordPress nel mondo sono soggetti a una vulnerabilità che consente un attaccante di scaricare un qualsiasi file dal sito della vittima. Questa vulnerabilità è stata scoperta in uno dei più popolari plugin per WordPress, Duplicator di Snap Creek.
Duplicator è un plugin che consente agli amministratori di un sito di effettuare una copia completa del proprio sito WordPress e spostarlo facilmente presso un altro servizio hosting. Tra le varie funzionalità c’è quella di esportare il database e il contenuto dei file in archivi portabili. Quando un amministratore crea una copia del sito, Duplicator gli consente di scaricare il file generato attraverso la bacheca di WordPress. Questa richiesta di download è risultata vulnerabile e consentiva a un malintenzionato di modificarla aggiungendo dei dati in modo da permettere di scaricare qualsiasi altro file contenuto all’interno del sito.
Questa vulnerabilità è stata risolta con la versione 1.3.28 e a partire da questa release la chiamata al download verifica la validità del nome del file prima di eseguire l’operazione.
Questo tipo di vulnerabilità è critica per qualsiasi piattaforma, ma nel caso di WordPress questi attacchi vengono indirizzati prevalentemente verso il file wp-config.php, file che contiene le credenziali di accesso al database. Una volta entrato in possesso di queste credenziali un attaccante può eventualmente accedere, tramite un altro sito presente sullo stesso server, al database del sito attaccato.
Sono stati riportati almeno 60.000 tentativi di accesso al file config.php di vari siti da parte di un unico indirizzo IP appartenente a un server in Bulgaria. I primi attacchi verso questo plugin sono stati identificati il 10 febbraio ma già il 12 febbraio è stata rilasciata la versione aggiornata di duplica che risolveva il problema. La vulnerabilità ha riguardato sia la versione gratuita che la versione commerciale del plugin.
Chiunque utilizzi questo plugin deve assicurarsi di utilizzare l’ultima versione disponibile.