Un plugin con un problema di sicurezza, un bug nel codice, sta mettendo a rischio milioni di siti web basati su WordPress.
Il plugin in questione è LiteSpeed Cache, molto popolare perché consente di ottimizzare accelerando la resa dei siti per chi li apre. Con cinque milioni di installazioni è tra i più popolari e viene supportato dagli altri plugin più popolari: WooCommerce, bbPress, ClassicPress e Yoast SEO.
Adesso si è scoperto, come riporta BleepingComputer, che c’è una vulnerabilità critica che permette di fare un attacco ai siti WordPress che lo utilizzano e di prenderne il controllo come amministratori. Si tratta di una vulnerabilità (classificata come CVE-2024-28000).
L’attacco a WordPress
In pratica, gli attaccanti possono entrare da semplici visitatori non registrati tra gli utenti di WordPress e far scalare i propri privilegi di utilizzo sino a diventare amministratori della installazione e fare danni: cancellare contenuti, postarne altri, eliminare account, cambiare le password a tutti. Insomma, il plugin potenzialmente è molto dannoso e per gli amministratori che lo utilizzano è necessario fare un aggiornamento il prima possibile.
Questa vulnerabilità di WordPress, tramite uno dei suoi plugin, non è la prima e non sarà ovviamente l’ultima. È tuttavia una delle più perniciose degli ultimi tempi perché apre la strada a una riflessione su come creare e rendere sicuro il proprio sito web.
Funzionalità e compatibilità
I plugin sono delle dipendenze dell’applicativo principale, e vengono realizzate da terze parti. Introducono delle funzionalità necessarie agli installatori e gestori di un determinato sito, ma complicano la vita a chi pensa alla compatibilità e sicurezza dei sistemi.
Da un lato infatti è necessario mantenere costantemente aggiornato WordPress che, essendo il CMS più diffuso al mondo, è anche quello sottoposto a più tentativi di attacco. La community open source che ci lavora dietro ha la capacità di reagire molto velocemente a qualsiasi vulnerabilità venga identificata, ma gli attaccanti sfruttano soprattutto l’inerzia di molti amministratori di sistemi che non aggiornano.
Uno dei motivi per cui gli aggiornamenti non avvengono velocemente è dovuto anche al fatto che spesso questi portano a problemi di incompatibilità fra versioni con i plugin che a volte hanno, per singole installazioni, un ruolo critico. Si ritarda insomma l’aggiornamento di WordPress per non “rompere tutto” con i plugin che diventano incompatibili.
Il problema dei plugin
Inoltre, i plugin stessi diventano vettori di possibili attacchi perché a loro volta sono dei piccoli software che possono avere delle vulnerabilità, come nel caso di LiteSpeed Cache. Solo che la gestione degli aggiornamenti complessivi, il cosiddetto packet managing, non è sempre così trasparente e molti amministratori non discernono da versione a versione dei vari plugin.
Il rischio, insomma, è quello di mantenere una vecchia versione per paura magari di interazioni negative con altri plugin o con gli script e le configurazioni già realizzate.
I problemi di WordPress
Il più grande CMS al mondo è, da un certo punto di vista, una specie di sistema operativo per esporre contenuti sul web e gestire infrastrutture anche molto complesse. Come tale, deve essere mantenuto sicuro. Non è un lavoro facile.
Infatti, sebbene il team di sviluppo del plugin incriminato abbia rilasciato versioni che risolvono questa vulnerabilità di sicurezza critica a metà agosto, le statistiche di download dal repository ufficiale dei plugin di WordPress mostrano che il plugin è stato scaricato solo poco più di 2,5 milioni di volte, lasciando probabilmente più della metà dei siti web che lo utilizzano esposti ad attacchi.
Non è stato l’unico caso a mettere sotto il fuoco incrociato LiteSpeed Cache. All’inizio di quest’anno, i malintenzionati hanno sfruttato una falla di cross-site scripting non autenticato di LiteSpeed Cache (CVE-2023-40000) per creare utenti amministratori non autorizzati e ottenere il controllo di siti web vulnerabili.
A maggio, il team di sicurezza di Automattic, WPScan, ha avvertito che gli attori delle minacce hanno iniziato a scansionare gli obiettivi ad aprile dopo aver visto oltre 1,2 milioni di sonde da un solo indirizzo IP.
Aggiornare tutto e farlo subito
“Consigliamo vivamente agli utenti – ha detto Chloe Chamberland, threat intel lead di Wordfence – di aggiornare i propri siti con l’ultima versione patchata di Litespeed Cache, la versione 6.4.1 al momento in cui scriviamo, il prima possibile. Non abbiamo dubbi che questa vulnerabilità sarà sfruttata attivamente molto presto”.
Nel mese di giugno, il team di Threat Intelligence di Wordfence ha inoltre segnalato che un attore pericoloso ha eseguito il backdooring di almeno cinque plugin su WordPress.org e ha aggiunto script PHP dannosi per creare account con privilegi di amministrazione sui siti web che li eseguono.
Per tutte le notizie sulla sicurezza informatica rimandiamo alla sezione dedicata di macitynet.
