I plugin sono un elemento importante quando si sviluppano siti web con WordPress.
Ma, e lo raccontiamo periodicamente, a volte questi pezzi aggiuntivi hanno dei problemi che si trasformano in vulnerabilità che potrebbero potenzialmente, e in alcuni casi nei fatti, essere sfruttate da agenti malevoli.
I criminali informatici sono infatti sempre alla ricerca di nuovi pertugi per creare il caos e trasformarlo in un tornaconto economico personale. Il plugin che ti segnaliamo oggi è il plugin Nested Page. Si tratta di uno strumento molto utile, che permette di organizzare meglio la struttura dei siti con un sistema drag and drop estremamente intuitivo.
La struttura di un sito viene trasformata in un comodo diagramma ad albero. Motivo per cui è un plugin che è stato installato oltre 100.000 volte. Ma è risultato affetto da una vulnerabilità che Wordfence ha classificato come 8.8 su 10. Vediamola nel dettaglio.
Plugin Nested Page, c’è un problema
Tra i siti che sono veri e propri punti di riferimento per quello che riguarda la sicurezza di WordPress c’è Wordfence. Il suo database consente di avere sempre sotto mano il polso della situazione di tantissimi plugin e di scoprire rapidamente se uno o più di quelli che hai installato sul tuo sito potrebbero aprire in realtà le porte a criminali informatici e truffatori. Criminali che potrebbero arrecare danno al tuo sito oppure utilizzare il tuo sito per arrecare poi danno agli utenti che ti visitano.
E questo è un dettaglio che a volte si sottovaluta: se il tuo sito è colpito dagli hacker ma lo scopo non sono i tuoi dati significa che l’obiettivo è raggiungere gli utenti che sul tuo sito si muovono. Se dovessero sorgere problemi e la causa fosse rintracciata sul tuo sito è chiaro che gli utenti avrebbero poi problemi a fidarsi di te in futuro.
Una delle segnalazioni più recenti riguarda proprio il plugin Nested Page. La vulnerabilità che è stata rintracciata è di tipo Cross Site Request Forgery. Questa vulnerabilità, come spiegato bene su Wordfence, mette nelle condizioni utenti malevoli, non in possesso di credenziali per entrare sul sito, di richiamare file locali PHP con una richiesta fasulla.
Per poter portare a termine questo attacco, l’utente malevolo deve però riuscire a convincere in qualche modo chi ha gli accessi come amministratore a cliccare su un determinato link che apre poi la porta vera e propria. Occorre quindi che si incatenano alcune situazioni ma questo non rende la vulnerabilità meno pericolosa.
Il problema si è generato perché una funzione settingsPage manca di una validazione e non è stata attivata la sanitizzazione del parametro tab. Le versioni che sono colpite sono tutte quelle fino alla 3.2.7. Gli sviluppatori del plugin hanno provveduto a creare una versione aggiornata, la 3.2.8, che risolve il problema.
Come funziona questa vulnerabilità
Le vulnerabilità di tipo Cross Site Request Forgery sono considerate, secondo il Sans Institute, al nono posto tra i 25 errori più frequenti e soprattutto tra quelli più pericolosi che si possono avere all’interno di un qualunque pezzo di software.
E in realtà si tratta anche, stando sempre alle informazioni del Sans Institute, di un problema che si verifica piuttosto spesso. Per poter chiudere la falla occorre lavorare in maniera intensiva sul codice.
Ma come funziona? La premessa è che un utente malevolo abbia intenzione di attaccare un sito che sa essere vulnerabile a questo problema. Come alcuni predatori, in realtà poi l’hacker non fa tutto il lavoro ma lascia che sia l’utente a lavorare per lui. Passando attraverso l’utente, l’hacker riesce così a convincere il sito su cui questo utente ha fatto login ad eseguire una determinata operazione, mascherata da operazione valida. Un esempio classico sono le truffe che portano poi allo svuotamento dei conti in banca o alla raccolta di dati personali e delicati.
