Cover Image

Migliaia di siti Web vulnerabili devono applicare la patch per evitare RCE

9 Luglio 2020 - Tempo di lettura: 13 minuti

Il plug-in Adning Advertising per WordPress, un plug-in premium con oltre 8.000 clienti, contiene una vulnerabilità critica di esecuzione di codice in modalità remota con il potenziale danno che può essere sfruttato da utenti non autenticati.

L'autore del plug-in, Tunafish, ha implementato una versione con patch (v.1.5.6), che i proprietari del sito dovrebbero aggiornare il prima possibile. Nessun CVE è stato rilasciato.

Il bug potrebbe consentire l'acquisizione completa del sito, guadagnando un 10 su 10 nella scala di gravità del bug CVSS. Inoltre, è già stato oggetto di attacchi in natura, secondo un'analisi di Wordfence pubblicata mercoledì. Detto questo, l'azienda ha affermato che gli attacchi finora sono stati limitati in termini di portata e dimensioni.

Description: Unauthenticated Arbitrary File Upload leading to Remote Code Execution
Affected Plugin: Adning Advertising
Plugin Slug: angwp
Affected Versions: < 1.5.6
CVE ID: N/A
CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
CVSS score: 10.0(critical)
Patched Version: 1.5.6

Il difetto sta nella capacità del plugin Adning di consentire agli utenti di caricare immagini di banner, hanno detto i ricercatori.

"Per fornire questa funzionalità, ha utilizzato un'azione AJAX, _ning_upload_image", secondo i ricercatori. "Sfortunatamente, questa azione AJAX era disponibile con un hook nopriv_, il che significa che qualsiasi visitatore del sito poteva farne uso, anche se non era loggato. Inoltre, la funzione chiamata da questa azione AJAX non è riuscita a fare uso di un controllo di capacità o controllo nonce."

Questa funzione ha anche permesso all'utente di fornire i tipi di file "consentiti", il che significa che un utente malintenzionato non autenticato potrebbe caricare codice dannoso inviando una richiesta POST a wp-admin / admin-ajax.php.

Questo potrebbe essere eseguito "con il parametro di azione impostato su _ning_upload_image il permesso_file_tipi impostato su php e un parametro di file contenente un file PHP dannoso", hanno detto i ricercatori. "In alternativa, un utente malintenzionato potrebbe impostare i file consentiti_file su zip e caricare un archivio compresso contenente un file PHP dannoso, che verrà decompresso dopo il caricamento."

Un secondo bug

I ricercatori di Wordfence hanno anche riscontrato una seconda vulnerabilità della sicurezza, che consente l'eliminazione arbitraria di file non autenticata tramite l'attraversamento del percorso.

Con un punteggio CVSS di severità elevata di 8,7, questo bug è anche patchato in v.1.5.6.

"Per eliminare tutte le immagini caricate, il plug-in ha anche registrato un'altra azione ajax, _ning_remove_image, che utilizzava anche un hook nopriv_", secondo l'analisi. "Come per la vulnerabilità del caricamento, questa funzione non ha eseguito un controllo di capacità o un controllo nonce. In quanto tale, è stato possibile per un utente malintenzionato non autenticato eliminare i file arbitrari utilizzando l'attraversamento del percorso ".

Inoltre, secondo Wordfence, se un utente malintenzionato fosse in grado di eliminare il file specifico wp-config.php, il sito verrebbe ripristinato, offrendo agli aggressori l'opportunità di configurarlo nuovamente. Potrebbero utilizzare i propri database remoti sotto il loro controllo, sostituendo efficacemente il contenuto del sito con il proprio contenuto.

"Ciò potrebbe richiedere un ulteriore passo di preparazione, ovvero che dovrebbe esistere la cartella wp-content / uploads / path", secondo Wordfence. “Tuttavia, poiché la vulnerabilità di caricamento di file arbitraria menzionata in precedenza consentiva la creazione di directory, questo non era un grosso ostacolo. Una volta creata la directory, un utente malintenzionato potrebbe inviare una richiesta POST a wp-admin / admin-ajax.php con il parametro action impostato su _ning_remove_image, il parametro uid impostato su /../../ .. e il set di parametri src a wp-config.php. ”

Plugin WordPress: un collegamento debole

I plug-in di WordPress continuano a manifestarsi con vulnerabilità che mettono a rischio i siti. A maggio, ad esempio, Page Builder di SiteOrigin, un plug-in di WordPress con un milione di installazioni attive utilizzato per creare siti Web tramite una funzione di trascinamento della selezione, si è stato riscontrato che presenta due difetti che potrebbero consentire l'acquisizione completa del sito.

Nel frattempo, ad aprile, è stato rivelato che legioni di visitatori del sito Web potevano essere infettate da malware drive-by, tra gli altri problemi, grazie a un  bug CSRF in Real-Time Search and ReplaceInoltre quel mese, sono state trovate un paio di vulnerabilità di sicurezza (uno di loro critica), per l'ottimizzazione dei motori di ricerca WordPress (SEO) il plugin conosciuto come Grado MathPotrebbero consentire ai criminali informatici remoti di elevare i privilegi e installare reindirizzamenti dannosi su un sito di destinazione, secondo i ricercatori. RankMath è un plugin per WordPress con oltre 200.000 installazioni.

A marzo, è stata rilevata un'altra vulnerabilità critica in un plug-in WordPress noto come "Addon ThemeREX"   che potrebbe aprire le porte all'esecuzione di codice in remoto in 44.000 siti Web.

Sempre a marzo, due vulnerabilità - tra cui un difetto di elevata gravità -  sono state corrette  in un popolare plugin di WordPress chiamato Popup Builder. Il difetto più grave potrebbe consentire a un utente malintenzionato non autenticato di infettare JavaScript dannoso in un popup, aprendo potenzialmente oltre 100.000 siti Web da rilevare.

E a febbraio, è stato scoperto che il popolare duplicatore di plugin WordPress Duplicator, che ha oltre 1 milione di installazioni attive,  aveva  una vulnerabilità arbitraria non autenticata per il download di file che veniva attaccata. E, all'inizio di quel mese, è stato rivelato un difetto critico in un popolare plugin WordPress che aiuta a rendere i siti Web conformi al Regolamento generale sulla protezione dei dati (GDPR)Il difetto potrebbe consentire agli aggressori di modificare il contenuto o iniettare codice JavaScript dannoso nei siti Web delle vittime. Ha interessato 700.000 siti.

intopic.it