Aggiornamenti recenti Novembre 22nd, 2024 9:00 AM
Nov 23, 2016 Marco Schiaffino In evidenza, News, RSS, Vulnerabilità 0
Esistono momenti in cui ci si accorge di averla scampata per un pelo. A viverne uno (particolarmente intenso) deve essere stato il team di WordPress.
La vulnerabilità scoperta lo scorso settembre (ma resa pubblica solo ieri) era infatti una di quelle che avrebbero potuto assestare una vera mazzata alla piattaforma.
Come spiega Matt Berry di WordFence, chiunque l’avesse scoperta avrebbe potuto compromettere milioni di siti con estrema facilità.
Il problema, infatti, riguardava il sistema di aggiornamento di WordPress e avrebbe consentito di avviare l’esecuzione di codice in maniera del tutto automatica a tutti i siti che sfruttano la piattaforma.
Il sistema di update di WordPress utilizza un server chiamato api.wordpress.org, che si occupa di comunicare ai singoli siti Web la disponibilità di aggiornamenti per la piattaforma o per i plug-in. All’interno della notifica è contenuta l’URL per scaricare gli aggiornamenti, che possono anche essere installati automaticamente.
Come fa notare Berry, gli aggiornamenti in questione non hanno un sistema di certificati digitali per verificarne l’autenticità. Semplicemente ci si affida al fatto che l’URL per il download arrivi da una fonte controllata.
Un’architettura decisamente “a rischio”, che concentra tutto su un singolo elemento. Chi dovesse essere in grado di compromettere api.wordpress.org, infatti, sarebbe in grado di diffondere qualsiasi malware su un numero impressionante di siti Web. Stando alle statistiche, infatti, il 27% dei siti su Internet usa WordPress.
Berry a questo punto ha cominciato a chiedersi se fosse possibile compromettere il server principale. E la risposta è stata affermativa.
Il server api.wordpress.org è infatti collegato a GitHub tramite un webhook che permette agli sviluppatori di sincronizzare il codice che sviluppano con il repository di WordPress. Sfruttando questo collegamento, un pirata potrebbe aprire una shellcode e compromettere il server.
Le comunicazioni tra GitHub e api.wordpress.org, naturalmente, sono “blindate” da un sistema di hashing che permette al server di WordPress di verificare l’origine delle richieste. Nel dettaglio, l’hash usato combina una chiave segreta condivisa che viene elaborata con un algoritmo sha-1 a 160 bit.
Questo sistema, però, non era così sicuro come avrebbe dovuto essere. La procedura, infatti, permetteva al client (in questo caso GitHub) di scegliere l’algoritmo per le comunicazioni verso il server. PHP, però, consente di usare anche algoritmi più deboli (32 bit al post dei 160 bit di sha-1).
Un attacco in cui si impersona GitHub usando un algoritmo di hashing debole, avrebbe consentito di tentare un brute forcing per individuare la chiave segreta condivisa.
In particolare, Berry ha individuato un algoritmo (adler32) che ha numerose falle di sicurezza e che consente di ridurre il campo delle possibili chiavi a un numero compreso tra 100.000 e 400.000. Risultato: il brute forcing avrebbe potuto essere portato a termine in qualche ora.
In seguito alla segnalazione, il team di WordPress ha corretto il problema. Matt Berry, invece, ha incassato i (sentiti) ringraziamenti della comunità di WordPress.
Nel suo report, però, Berry sottolinea il fatto che l’attuale architettura del sistema di aggiornamento rimane a rischio. Qualsiasi altro metodo individuato per violare il server principale, infatti, porterebbe a un vero disastro.
Nov 18, 2024 0
Ott 15, 2024 0
Set 09, 2024 0
Ago 20, 2024 0
Nov 22, 2024 0
Nov 21, 2024 0
Nov 21, 2024 0
Nov 20, 2024 0
Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Playlist e podcast sono l’esca ideale per attirare ignari...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...