Il modo in cui le vulnerabilità dei plugin e dei temi di WordPress vengono alla luce è vario.
A volte può capitare che un utente si imbatta in qualcosa che non va, altre volte ci sono alcuni team che si occupano proprio di dare la caccia a questi problemi. Di recente è emersa una vulnerabilità all’interno di un plugin, nella sua versione free, che è considerato il plugin di cache più utilizzato tra gli utenti WordPress: LiteSpeed Cache.
La vulnerabilità però è risultata talmente tanto pericolosa che PatchStack, all’interno della cui community c’è il cacciatore fortunato, ha elargito una ricompensa di oltre 14.000 dollari.
Si tratta della più alta ricompensa finora mai elargita a qualcuno che abbia scoperto una vulnerabilità all’interno dell’ecosistema di WordPress. Vediamo quindi che cosa comporta Il problema che è stato riscontrato e che coinvolge 5 milioni di installazioni.
LiteSpeed Cache e la vulnerabilità del secolo
Già di per sé, scoprire una vulnerabilità all’interno di un plugin è da una parte entusiasmante e dall’altro un enorme fastidio. È entusiasmante se viene visto dalla prospettiva di chi dà la caccia a questi problemi ed è ovviamente un problema dal punto di vista di chi il plugin l’ha prodotto.
Perché significa che nonostante tutta la cura certosina che è stata messa per rendere il prodotto funzionante e sicuro, qualcosa è passato inosservato. Ma come succede quasi sempre con il software, solo l’utilizzo e la messa su strada permette di guardare con occhi diversi quello che si è creato e aiuta così anche a scoprire se ci sono problemi di qualche tipo.
Per LiteSpeed Cache, che come accennavamo è il più installato plugin per la cache su WordPress e che mette a disposizione degli utenti moltissimi servizi, la vulnerabilità è classificata come “particolarmente pericolosa” nelle parole del fondatore di PatchStack, Oliver Sild.
La tipologia di vulnerabilità è una privilege escalation per utenti senza credenziali di accesso. Cerchiamo di capire di che tipo di vulnerabilità stiamo parlando. La privilege escalation nei fatti permette a un qualunque visitatore di un sito web di entrare all’interno della struttura del sito, con le opportune attività malevoli ovviamente, e prendere il ruolo di amministratore.
In questo modo è poi possibile in pratica fare qualunque cosa all’interno del sito e trasformarlo per esempio in una trappola oppure esfiltrare tutti i dati sensibili che i database contengono. La versione sicura del plugin LiteSpeed Cache è la 6.4. Come è possibile però che un utente non autorizzato possa entrare senza problemi all’interno di un sito solo perché questo ha un plugin per la gestione dell’ottimizzazione?
Tutto nasce da una delle funzioni con cui è proprio costruito il plugin. LiteSpeed Cache ha infatti all’interno una funzione di crawler che aiuta a ridurre i tempi di caricamento, costruendo la cache delle pagine prima che un utente reale le visiti.
Per creare questa versione di cache avanzata il crawler, però, crea in pratica un utente fittizio a cui aggiunge un ID. Questo utente fittizio, che di per sé è molto utile, ha al suo interno un problema: questa simulazione è infatti protetta da un sistema di sicurezza che non è a prova di bomba.
Il security hash utilizza infatti dei valori che possono essere facilmente individuati. Se un utente malevolo riesce a interferire con il sistema di produzione del valore del security hash, per esempio attraverso un attacco Brute Force, può entrare utilizzando gli ID che il crawler crea per le sue attività di simulazione.
Una particolarità che è emersa nelle simulazioni fatte dal team di PatchStack è che la vulnerabilità non funziona in ambiente Windows. Se il sito WordPress è costruito a partire da Windows manca infatti un passaggio che in questo sistema operativo viene risolto diversamente.
Per una volta, verrebbe da dire, Windows è l’ambiente più sicuro su cui costruire il tuo sito WordPress. Ma si tratta di una piccola consolazione, perché le prospettive di quello che può succedere sono davvero allarmanti: nel momento in cui si entra all’interno del sito si ha, nei fatti, mano libera.
Tutti i dettagli relativi a quello che può succedere sono sul post nel blog ufficiale di PatchStack. Una lettura forse un po’ tecnica ma che andrebbe fatta.
