Aggiornamenti recenti Aprile 19th, 2024 9:00 AM
Nov 23, 2016 Marco Schiaffino In evidenza, News, RSS, Vulnerabilità 0
Esistono momenti in cui ci si accorge di averla scampata per un pelo. A viverne uno (particolarmente intenso) deve essere stato il team di WordPress.
La vulnerabilità scoperta lo scorso settembre (ma resa pubblica solo ieri) era infatti una di quelle che avrebbero potuto assestare una vera mazzata alla piattaforma.
Come spiega Matt Berry di WordFence, chiunque l’avesse scoperta avrebbe potuto compromettere milioni di siti con estrema facilità.
Il problema, infatti, riguardava il sistema di aggiornamento di WordPress e avrebbe consentito di avviare l’esecuzione di codice in maniera del tutto automatica a tutti i siti che sfruttano la piattaforma.
Il sistema di update di WordPress utilizza un server chiamato api.wordpress.org, che si occupa di comunicare ai singoli siti Web la disponibilità di aggiornamenti per la piattaforma o per i plug-in. All’interno della notifica è contenuta l’URL per scaricare gli aggiornamenti, che possono anche essere installati automaticamente.
Come fa notare Berry, gli aggiornamenti in questione non hanno un sistema di certificati digitali per verificarne l’autenticità. Semplicemente ci si affida al fatto che l’URL per il download arrivi da una fonte controllata.
Un’architettura decisamente “a rischio”, che concentra tutto su un singolo elemento. Chi dovesse essere in grado di compromettere api.wordpress.org, infatti, sarebbe in grado di diffondere qualsiasi malware su un numero impressionante di siti Web. Stando alle statistiche, infatti, il 27% dei siti su Internet usa WordPress.
Berry a questo punto ha cominciato a chiedersi se fosse possibile compromettere il server principale. E la risposta è stata affermativa.
Il server api.wordpress.org è infatti collegato a GitHub tramite un webhook che permette agli sviluppatori di sincronizzare il codice che sviluppano con il repository di WordPress. Sfruttando questo collegamento, un pirata potrebbe aprire una shellcode e compromettere il server.
Le comunicazioni tra GitHub e api.wordpress.org, naturalmente, sono “blindate” da un sistema di hashing che permette al server di WordPress di verificare l’origine delle richieste. Nel dettaglio, l’hash usato combina una chiave segreta condivisa che viene elaborata con un algoritmo sha-1 a 160 bit.
Questo sistema, però, non era così sicuro come avrebbe dovuto essere. La procedura, infatti, permetteva al client (in questo caso GitHub) di scegliere l’algoritmo per le comunicazioni verso il server. PHP, però, consente di usare anche algoritmi più deboli (32 bit al post dei 160 bit di sha-1).
Un attacco in cui si impersona GitHub usando un algoritmo di hashing debole, avrebbe consentito di tentare un brute forcing per individuare la chiave segreta condivisa.
In particolare, Berry ha individuato un algoritmo (adler32) che ha numerose falle di sicurezza e che consente di ridurre il campo delle possibili chiavi a un numero compreso tra 100.000 e 400.000. Risultato: il brute forcing avrebbe potuto essere portato a termine in qualche ora.
In seguito alla segnalazione, il team di WordPress ha corretto il problema. Matt Berry, invece, ha incassato i (sentiti) ringraziamenti della comunità di WordPress.
Nel suo report, però, Berry sottolinea il fatto che l’attuale architettura del sistema di aggiornamento rimane a rischio. Qualsiasi altro metodo individuato per violare il server principale, infatti, porterebbe a un vero disastro.
Mar 14, 2024 0
Mar 07, 2024 0
Mar 01, 2024 0
Feb 05, 2024 0
Apr 19, 2024 0
Apr 18, 2024 0
Apr 18, 2024 0
Apr 17, 2024 0
Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Apr 11, 2024 0
Secondo l’ultimo report di Sophos, “It’s Oh...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 19, 2024 0
Il mondo del cybercrimine continua a mettere in difficoltà...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 18, 2024 0
I ricercatori di Cisco Talos hanno individuato un...Apr 17, 2024 0
“In un contesto di crescente fragilità, gli sforzi di...Apr 17, 2024 0
I mantainer di PuTTY, il client open-source di SSH e...