Falla di WordPress: erano a rischio il 27% dei siti su Internet

Nov 23, 2016 Marco Schiaffino In evidenza, News, RSS, Vulnerabilità 0

La vulnerabilità nel sistema di aggiornamento automatico è stata corretta, ma avrebbe consentito a chiunque di installare quello che voleva su tutti i siti Web gestiti tramite la piattaforma.

Esistono momenti in cui ci si accorge di averla scampata per un pelo. A viverne uno (particolarmente intenso) deve essere stato il team di WordPress.

La vulnerabilità scoperta lo scorso settembre (ma resa pubblica solo ieri) era infatti una di quelle che avrebbero potuto assestare una vera mazzata alla piattaforma.

Come spiega Matt Berry di WordFence, chiunque l’avesse scoperta avrebbe potuto compromettere milioni di siti con estrema facilità.

Il problema, infatti, riguardava il sistema di aggiornamento di WordPress e avrebbe consentito di avviare l’esecuzione di codice in maniera del tutto automatica a tutti i siti che sfruttano la piattaforma.

Il sistema di update di WordPress utilizza un server chiamato api.wordpress.org, che si occupa di comunicare ai singoli siti Web la disponibilità di aggiornamenti per la piattaforma o per i plug-in. All’interno della notifica è contenuta l’URL per scaricare gli aggiornamenti, che possono anche essere installati automaticamente.

Come fa notare Berry, gli aggiornamenti in questione non hanno un sistema di certificati digitali per verificarne l’autenticità. Semplicemente ci si affida al fatto che l’URL per il download arrivi da una fonte controllata.

Un’architettura decisamente “a rischio”, che concentra tutto su un singolo elemento. Chi dovesse essere in grado di compromettere api.wordpress.org, infatti, sarebbe in grado di diffondere qualsiasi malware su un numero impressionante di siti Web. Stando alle statistiche, infatti, il 27% dei siti su Internet usa WordPress.

Lo schema del sistema di aggiornamento di WordPress. Tutto dipende dal server api.wordpress.org.

Berry a questo punto ha cominciato a chiedersi se fosse possibile compromettere il server principale. E la risposta è stata affermativa.

Il server api.wordpress.org è infatti collegato a GitHub tramite un webhook che permette agli sviluppatori di sincronizzare il codice che sviluppano con il repository di WordPress. Sfruttando questo collegamento, un pirata potrebbe aprire una shellcode e compromettere il server.

Le comunicazioni tra GitHub e api.wordpress.org, naturalmente, sono “blindate” da un sistema di hashing che permette al server di WordPress di verificare l’origine delle richieste. Nel dettaglio, l’hash usato combina una chiave segreta condivisa che viene elaborata con un algoritmo sha-1 a 160 bit.

Questo sistema, però, non era così sicuro come avrebbe dovuto essere. La procedura, infatti, permetteva al client (in questo caso GitHub) di scegliere l’algoritmo per le comunicazioni verso il server. PHP, però, consente di usare anche algoritmi più deboli (32 bit al post dei 160 bit di sha-1).

Un attacco in cui si impersona GitHub usando un algoritmo di hashing debole, avrebbe consentito di tentare un brute forcing per individuare la chiave segreta condivisa.

In particolare, Berry ha individuato un algoritmo (adler32) che ha numerose falle di sicurezza e che consente di ridurre il campo delle possibili chiavi a un numero compreso tra 100.000 e 400.000. Risultato: il brute forcing avrebbe potuto essere portato a termine in qualche ora.

In seguito alla segnalazione, il team di WordPress ha corretto il problema. Matt Berry, invece, ha incassato i (sentiti) ringraziamenti della comunità di WordPress.

Nel suo report, però, Berry sottolinea il fatto che l’attuale architettura del sistema di aggiornamento rimane a rischio. Qualsiasi altro metodo individuato per violare il server principale, infatti, porterebbe a un vero disastro.

Condividi l'articolo