Aggiornamenti recenti Settembre 18th, 2025 4:37 PM
Nov 23, 2016 Marco Schiaffino In evidenza, News, RSS, Vulnerabilità 0
Esistono momenti in cui ci si accorge di averla scampata per un pelo. A viverne uno (particolarmente intenso) deve essere stato il team di WordPress.
La vulnerabilità scoperta lo scorso settembre (ma resa pubblica solo ieri) era infatti una di quelle che avrebbero potuto assestare una vera mazzata alla piattaforma.
Come spiega Matt Berry di WordFence, chiunque l’avesse scoperta avrebbe potuto compromettere milioni di siti con estrema facilità.
Il problema, infatti, riguardava il sistema di aggiornamento di WordPress e avrebbe consentito di avviare l’esecuzione di codice in maniera del tutto automatica a tutti i siti che sfruttano la piattaforma.
Il sistema di update di WordPress utilizza un server chiamato api.wordpress.org, che si occupa di comunicare ai singoli siti Web la disponibilità di aggiornamenti per la piattaforma o per i plug-in. All’interno della notifica è contenuta l’URL per scaricare gli aggiornamenti, che possono anche essere installati automaticamente.
Come fa notare Berry, gli aggiornamenti in questione non hanno un sistema di certificati digitali per verificarne l’autenticità. Semplicemente ci si affida al fatto che l’URL per il download arrivi da una fonte controllata.
Un’architettura decisamente “a rischio”, che concentra tutto su un singolo elemento. Chi dovesse essere in grado di compromettere api.wordpress.org, infatti, sarebbe in grado di diffondere qualsiasi malware su un numero impressionante di siti Web. Stando alle statistiche, infatti, il 27% dei siti su Internet usa WordPress.
Lo schema del sistema di aggiornamento di WordPress. Tutto dipende dal server api.wordpress.org.
Berry a questo punto ha cominciato a chiedersi se fosse possibile compromettere il server principale. E la risposta è stata affermativa.
Il server api.wordpress.org è infatti collegato a GitHub tramite un webhook che permette agli sviluppatori di sincronizzare il codice che sviluppano con il repository di WordPress. Sfruttando questo collegamento, un pirata potrebbe aprire una shellcode e compromettere il server.
Le comunicazioni tra GitHub e api.wordpress.org, naturalmente, sono “blindate” da un sistema di hashing che permette al server di WordPress di verificare l’origine delle richieste. Nel dettaglio, l’hash usato combina una chiave segreta condivisa che viene elaborata con un algoritmo sha-1 a 160 bit.
Questo sistema, però, non era così sicuro come avrebbe dovuto essere. La procedura, infatti, permetteva al client (in questo caso GitHub) di scegliere l’algoritmo per le comunicazioni verso il server. PHP, però, consente di usare anche algoritmi più deboli (32 bit al post dei 160 bit di sha-1).
Un attacco in cui si impersona GitHub usando un algoritmo di hashing debole, avrebbe consentito di tentare un brute forcing per individuare la chiave segreta condivisa.
In particolare, Berry ha individuato un algoritmo (adler32) che ha numerose falle di sicurezza e che consente di ridurre il campo delle possibili chiavi a un numero compreso tra 100.000 e 400.000. Risultato: il brute forcing avrebbe potuto essere portato a termine in qualche ora.
In seguito alla segnalazione, il team di WordPress ha corretto il problema. Matt Berry, invece, ha incassato i (sentiti) ringraziamenti della comunità di WordPress.
Nel suo report, però, Berry sottolinea il fatto che l’attuale architettura del sistema di aggiornamento rimane a rischio. Qualsiasi altro metodo individuato per violare il server principale, infatti, porterebbe a un vero disastro.
Set 09, 2025 0
Giu 04, 2025 0
Feb 26, 2025 0
Nov 18, 2024 0
Set 18, 2025 0
Set 17, 2025 0
Set 16, 2025 0
Set 15, 2025 0
Set 17, 2025 0
La minaccia di MuddyWater non si arresta, anzi: negli...Set 12, 2025 0
L’intelligenza artificiale diventa non solo...Set 11, 2025 0
Il ransomware continua a dilagare e rimane la minaccia...Ago 29, 2025 0
Il prossimo 14 ottobre terminerà ufficialmente il supporto...Ago 26, 2025 0
Il mondo dell’IoT rimane uno dei più esposti alle...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Set 18, 2025 0
A un anno dall’annuncio della partnership, Cohesity e...Set 17, 2025 0
La minaccia di MuddyWater non si arresta, anzi: negli...Set 16, 2025 0
I ricercatori della compagnia di sicurezza Socket hanno...Set 15, 2025 0
La nuova squadra italiana per le competizioni di...Set 15, 2025 0
La scorsa settimana il CERT-AGID ha identificato e...