5 Agosto 2020 - Tempo di lettura: 11 minuti
Un bug di elevata gravità rilevato nel plug-in di chat ufficiale di Facebook per i siti Web WordPress con oltre 80.000 installazioni attive potrebbe consentire agli aggressori di intercettare i messaggi inviati dai visitatori al proprietario dei siti vulnerabili.
Il plug-in per chat di Facebook consente ai proprietari di siti Web di WordPress di incorporare un pop-up di chat per comunicare con i visitatori in tempo reale attraverso la piattaforma di messaggistica di Facebook per le pagine di Facebook.
Il plug-in include anche il supporto per le trascrizioni delle chat e semplifica l'impostazione di risposte automatiche e FAQ al di fuori dell'orario di lavoro per fornire ai visitatori informazioni utili mentre il proprietario del sito non può rispondere.
In un rapporto pubblicato oggi dal team di Intelligence sulle minacce di Wordfence, l'analista Chloe Chamberland afferma che le opzioni autenticate ad alta gravità cambiano la vulnerabilità con un punteggio di base CVSS 7.4 è stato scoperto il 26 giugno 2020.
Il team di sicurezza di Facebook ha risolto il problema con l'uscita della versione 1.6 il 28 luglio, circa un mese dopo aver risposto al rapporto iniziale di Wordfence.
Sui siti Web che eseguono una versione vulnerabile del plug-in di chat ufficiale di Facebook, gli utenti malintenzionati autenticati di basso livello possono "collegare il proprio account Facebook Messenger [..] e impegnarsi in chat con i visitatori del sito [..]".
Per connettere la finestra pop-up della chat alla pagina Facebook del proprietario, il plug-in utilizza l'azione AJAX wp_ajax_update_options che, nelle versioni senza patch, non ha verificato se le richieste di connessione alla pagina provenivano da amministratori di siti Web autenticati.
"Ciò ha consentito a qualsiasi utente autenticato, inclusi gli account a livello di abbonato, di inviare una richiesta di aggiornamento delle opzioni e di collegare il proprio account Facebook Messenger", spiega Chamberland.
"Di conseguenza, gli aggressori potrebbero collegare il proprio account Facebook Page Messenger, aggiornando l'ID pagina, a qualsiasi dato sito che esegue il plug-in purché siano in grado di registrarsi sul sito e accedere alla dashboard / wp-admin."
Dopo aver collegato correttamente la propria pagina Facebook alla chat del sito di destinazione, gli aggressori ricevono tutti i messaggi inviati tramite la chat di Messenger del sito, con il proprietario del sito che non riceve più alcun messaggio in arrivo.
"I tentativi di sfruttamento rivolti a questa vulnerabilità potrebbero essere facilmente utilizzati come parte di un attacco di ingegneria sociale proponendosi come proprietario di un sito che richiede informazioni, credenziali o altre informazioni di identificazione personale", aggiunge Chamberland.
Gli aggressori potrebbero anche utilizzare il loro accesso alle chat dei siti compromessi per rovinare la reputazione dei siti attraverso un'interazione tossica con i loro visitatori o per causare la perdita di entrate "indirizzando il traffico verso la concorrenza".
Anche se Facebook Chat Plugin versione 1.6, la versione che risolve questa vulnerabilità è stata pubblicata il 28 luglio, il plug-in è stato scaricato solo 25.657 volte da allora sulla base dei dati di download storici forniti dal portale di WordPress, essendo questo il numero totale di aggiornamenti e nuovi installa.
Ciò significa che almeno 54.000 siti WordPress con pop-up attivi di Chat Messenger sono ancora esposti agli attacchi progettati per sfruttare questo difetto come parte delle future campagne di hacking.
Si consiglia vivamente agli utenti di plug-in di chat di Facebook di aggiornare il loro plug-in alla versione 1.6 il più presto possibile per bloccare gli attacchi progettati per dirottare la chat dei loro siti come parte degli schemi di social engineering.
Ieri, Wordfence ha anche segnalato vulnerabilità Cross-Site Scripting (XSS) e PHP Object Injection rilevate nel plugin WordPress per newsletter che possono consentire agli hacker di iniettare backdoor, creare amministratori non autorizzati e potenzialmente acquisire siti interessati.
Wordfence ha anche riscontrato un bug critico nel plug-in WordPress ufficiale di Google con 300.000 installazioni che potrebbe consentire agli aggressori di ottenere l'accesso del proprietario alla Google Search Console dei siti target e facilitare le campagne SEO black hat.