Cosa sono gli attacchi alla supply chain e come stanno aumentando nei plugin WordPress

Parliamo periodicamente di quelle che sono le vulnerabilità che sono state riscontrate all’interno dei plugin e dei temi, in misura molto minore del codice sorgente, relativi a WordPress.

Ma quello che si sta verificando in questi giorni è una tipologia di attacco diversa. Si tratta, come segnalato anche da Wordfence, di attacchi supply chain. Un tipo di attacco estremamente pericoloso e che è una minaccia alla costruzione stessa dei plugin e dei siti web.

Nei casi degli attacchi che sono stati registrati dalla nota piattaforma di sicurezza, tutto è scaturito dal reperimento online di alcune credenziali di accesso, che sarebbero dovute essere più sicure. Ma andiamo con ordine: vediamo prima che cos’è un attacco supply chain e quali sono i plugin che sono stati colpiti. Esaminando anche quello che i developer stanno cercando di fare per risolvere il problema.

Che cosa si intende per attacchi supply chain?

Quando parliamo di plugin parliamo spesso delle tipologie di vulnerabilità che si possono rintracciare all’interno del loro codice sorgente. Per esempio parliamo spesso di cross-site request forgery oppure di cross-site scripting ma finora non avevamo ancora mai incontrato uno o più attacchi di tipo supply chain.

Questo tipo di attacco sfrutta una vulnerabilità che non si trova essa stessa all’interno del codice sorgente ma si trova un gradino più su. Questi attacchi, e lo spiega anche l’Agenzia per la sicurezza delle infrastrutture e la cybersicurezza degli Stati Uniti, la CISA, sono attacchi che si verificano “quando un soggetto malevolo si infiltra all’interno del network di un fornitore di software e impiega codice malevolo per compromettere il software prima che il venditore lo invii ai clienti. Il software compromesso poi, a sua volta, compromette i dati o i sistemi dei clienti“.

Basta questa definizione per comprendere quanto sia pericoloso un attacco di questo genere. Nel caso dei plugin che sono stati oggetto degli attacchi da parte di soggetti malevoli siamo quindi di fronte alla creazione di una involontaria porta, attraverso cui gli hacker possono inserire, senza che venga identificato in tempo, codice malevolo all’interno dei siti che utilizzano quei plugin.

E ci sono due modi, o meglio due situazioni, in cui si possono verificare attacchi: se per esempio il soggetto malevolo entra all’interno della struttura virtuale con cui viene costruito il plugin prima che questo venga diffuso o se riesce ad entrare dopo che è stato diffuso.

Soprattutto nel caso di un plugin che è già disponibile per gli utenti, l’ingresso dei soggetti malevoli può trasformare un aggiornamento di routine oppure un hotfix in un vero e proprio cavallo di Troia in grado di inserire qualunque genere di codice nel sito vittima.

Nel caso l’attacco arrivi a colpire il plugin prima del rilascio di una versione di aggiornamento, il pericolo è che i molti utenti diligenti che scaricano il plugin per tenersi al riparo dagli hacker finiscano proprio con l’aprire a loro volta porte a quegli stessi hacker.

Chiarito che siamo quindi di fronte ad una minaccia che forse è potenzialmente più seria di quelle di cui di solito ci occupiamo, vediamo adesso quali sono i plugin che purtroppo sono caduti vittima di questi attacchi.

Quali sono i plugin oggetto di questi attacchi supply chain?

La situazione è in evoluzione. Per questo motivo la lista che ti forniamo potrebbe non essere in realtà totalmente esaustiva.

È bene quindi, preventivamente, controllare tutti i plugin che possiedi, anche confrontandoli con le liste che si trovano su Wordfence. Per ora la piattaforma di sicurezza ha segnalato 9 plugin in totale per i quali c’è stata una breccia. I plugin sono:

• Social Warfare versioni fino alla 4.4.7.1 – la patch si trova nella versione 4.4.7.3
• Blaze Widget versione fino alla 2.5.2 – al momento non c’è una versione dotata di patch
• Wrapper Link Element versione fino alla 1.0.3 – per questo plugin sembra esserci stata una azione manuale sulla versione 1.0.0. che ha rimosso il problema ma non c’è una versione ufficiale con una patch
• Contact Form 7 Multi-Step Addon versione alla 1.0.5 – anche per questo plugin per ora non c’è una versione dotata di patch
• Simply Show Hooks versione fino alla 1.2.1 – anche questo plugin non ha patch ancora
• WP Server Health Stats versione 1.7.6 – la versione dotata di patch è la numero 1.7.8
• Ad Invalid Click Protector versione 1.2.9 – la versione dotata di patch è la numero 1.2.10
• PowerPress Podcasting plugin by Blubrry versione fino alla 11.9.4 – la versione dotata di patch è la numero 11.9.6
• Seo Optimized Images versione 2.1.2 – la patch è nella versione 2.1.4

A questa lista se ne aggiungono altri tre che sono dei plugin per i quali ci si è accorti prima del rilascio che c’era qualcosa che non andava: Pods – Custom Content Types and Fields nella versione 3.2.2, Twenty20 Image Before-After nelle versioni 1.6.2 e .3 e 1.5.4, WPCOM Member nelle versioni 1.3.16, 1.3.15. Per questi plugin il consiglio è ribaltato rispetto a quello che diamo di solito: non aggiornare il plugin fino a quando non ci sarà la conferma che il problema è stato risolto.

Come va affrontata la situazione per utenti e sviluppatori?

Per quello che riguarda gli utenti finali, ovvero quelle persone che hanno installato questi plugin oppure altri che potrebbero risultare in futuro colpiti da questi attacchi supply chain, il consiglio è ovviamente quello di tenere gli occhi aperti in caso si verifichino comportamenti anomali all’interno dei siti e soprattutto informarsi con gli sviluppatori dei plugin se ci sono problemi e, nel caso, quali sono le versioni complete di patch da scaricare e installare.

Per quello che riguarda invece gli sviluppatori di plugin, la prima cosa da fare è ovviamente quella di rendere più sicuro il modo in cui ci si interfaccia con i propri account WordPress.org. In particolare sarebbe bene, ciclicamente, modificare le password ed eliminare tutti gli account che non sono più attivamente utilizzati da chi sviluppa i plugin.

Da ultimo, esaminare se ci sono problemi e nel caso comunicarlo. Per aumentare la sicurezza potrebbe essere interessante adottare un sistema di autenticazione a due fattori.