Aggiornamenti recenti Aprile 30th, 2024 10:21 AM
Nov 23, 2016 Marco Schiaffino In evidenza, News, RSS, Vulnerabilità 0
Esistono momenti in cui ci si accorge di averla scampata per un pelo. A viverne uno (particolarmente intenso) deve essere stato il team di WordPress.
La vulnerabilità scoperta lo scorso settembre (ma resa pubblica solo ieri) era infatti una di quelle che avrebbero potuto assestare una vera mazzata alla piattaforma.
Come spiega Matt Berry di WordFence, chiunque l’avesse scoperta avrebbe potuto compromettere milioni di siti con estrema facilità.
Il problema, infatti, riguardava il sistema di aggiornamento di WordPress e avrebbe consentito di avviare l’esecuzione di codice in maniera del tutto automatica a tutti i siti che sfruttano la piattaforma.
Il sistema di update di WordPress utilizza un server chiamato api.wordpress.org, che si occupa di comunicare ai singoli siti Web la disponibilità di aggiornamenti per la piattaforma o per i plug-in. All’interno della notifica è contenuta l’URL per scaricare gli aggiornamenti, che possono anche essere installati automaticamente.
Come fa notare Berry, gli aggiornamenti in questione non hanno un sistema di certificati digitali per verificarne l’autenticità. Semplicemente ci si affida al fatto che l’URL per il download arrivi da una fonte controllata.
Un’architettura decisamente “a rischio”, che concentra tutto su un singolo elemento. Chi dovesse essere in grado di compromettere api.wordpress.org, infatti, sarebbe in grado di diffondere qualsiasi malware su un numero impressionante di siti Web. Stando alle statistiche, infatti, il 27% dei siti su Internet usa WordPress.
Berry a questo punto ha cominciato a chiedersi se fosse possibile compromettere il server principale. E la risposta è stata affermativa.
Il server api.wordpress.org è infatti collegato a GitHub tramite un webhook che permette agli sviluppatori di sincronizzare il codice che sviluppano con il repository di WordPress. Sfruttando questo collegamento, un pirata potrebbe aprire una shellcode e compromettere il server.
Le comunicazioni tra GitHub e api.wordpress.org, naturalmente, sono “blindate” da un sistema di hashing che permette al server di WordPress di verificare l’origine delle richieste. Nel dettaglio, l’hash usato combina una chiave segreta condivisa che viene elaborata con un algoritmo sha-1 a 160 bit.
Questo sistema, però, non era così sicuro come avrebbe dovuto essere. La procedura, infatti, permetteva al client (in questo caso GitHub) di scegliere l’algoritmo per le comunicazioni verso il server. PHP, però, consente di usare anche algoritmi più deboli (32 bit al post dei 160 bit di sha-1).
Un attacco in cui si impersona GitHub usando un algoritmo di hashing debole, avrebbe consentito di tentare un brute forcing per individuare la chiave segreta condivisa.
In particolare, Berry ha individuato un algoritmo (adler32) che ha numerose falle di sicurezza e che consente di ridurre il campo delle possibili chiavi a un numero compreso tra 100.000 e 400.000. Risultato: il brute forcing avrebbe potuto essere portato a termine in qualche ora.
In seguito alla segnalazione, il team di WordPress ha corretto il problema. Matt Berry, invece, ha incassato i (sentiti) ringraziamenti della comunità di WordPress.
Nel suo report, però, Berry sottolinea il fatto che l’attuale architettura del sistema di aggiornamento rimane a rischio. Qualsiasi altro metodo individuato per violare il server principale, infatti, porterebbe a un vero disastro.
Apr 22, 2024 0
Mar 14, 2024 0
Mar 07, 2024 0
Mar 01, 2024 0
Apr 30, 2024 0
Apr 29, 2024 0
Apr 29, 2024 0
Apr 26, 2024 0
Apr 29, 2024 0
Lo United States Postal Service (USPS), l’agenzia...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 30, 2024 0
Nell’ultimo mese Okta ha osservato un preoccupante...Apr 29, 2024 0
Nel periodo compreso tra il 20 e il 26 aprile,...Apr 26, 2024 0
I ricercatori di Avast hanno scoperto una nuova campagna...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...