Plug-in WordPress utilizzato in oltre 1 milione di siti Web. Patch per risolvere bug critici

I plug-in di WordPress consentono alle organizzazioni di estendere rapidamente le funzionalità dei propri siti Web senza richiedere alcuna codifica o competenze tecniche avanzate. Ma negli ultimi anni sono stati anche la principale fonte di rischio per i gestori di siti web.

L’esempio più recente è una vulnerabilità critica legata all’escalation dei privilegi in un plug-in utilizzato da oltre 1 milione di siti Web WordPress, chiamato Essential Addons for Elementor Plugin. La vulnerabilità, tracciata come CVE-2023-32243, colpisce le versioni dalla 5.4.0 alla 5.7.1 del plug-in e consente a un utente malintenzionato non autenticato di aumentare i privilegi a quelli di qualsiasi utente sul sito WordPress, incluso quello di un amministratore.

Difetto di escalation dei privilegi

I ricercatori di Patchstack hanno scoperto la vulnerabilità l’8 maggio e l’hanno comunicata a WPDeveloper, l’autore di Essential Addons for Elementor. WPDeveloper l’11 maggio ha rilasciato una nuova versione del software (versione 5.7.2) che risolve il bug. Il venditore ha descritto la nuova versione come dotata di un miglioramento della sicurezza nel modulo di accesso e registrazione per il software.

Secondo Patchstack, il bug ha a che fare con il codice di Essential Addons che reimposta le password senza verificare se le chiavi di reimpostazione della password associate sono presenti e legittime. Ciò offre a un utente malintenzionato non autenticato un modo per reimpostare la password di qualsiasi utente su un sito WordPress interessato e accedere al proprio account.

“Questa vulnerabilità si verifica perché [the] la funzione di reimpostazione della password non convalida una chiave di reimpostazione della password e modifica invece direttamente la password dell’utente specificato,” Patchstack ha detto in un post.

Il nuovo bug è una delle migliaia di vulnerabilità che i ricercatori hanno scoperto nei plug-in di WordPress negli ultimi anni.

Patchstack contava 4.528 nuove vulnerabilità nei plug-in di WordPress solo nel 2022, un sorprendente aumento del 328% rispetto ai 1.382 osservati nel 2021. I plug-in hanno rappresentato il 93% dei bug segnalati nell’ambiente WordPress nel 2022. Solo lo 0,6% dei bug confermati erano nel core piattaforma WordPress stessa. Circa il 14% dei bug era di gravità elevata o critica.

Una raffica incessante di difetti

Anche quest’anno la tendenza è continuata senza sosta. iThemes, una società che tiene traccia settimanalmente dei difetti dei plug-in di WordPress contato 160 vulnerabilità solo nel periodo di una settimana terminato il 26 aprile. I bug hanno colpito circa 8 milioni di siti Web WordPress e solo 68 di essi erano dotati di patch al momento della divulgazione della vulnerabilità.

Proprio la scorsa settimana, Patchstack ha segnalato un’altra vulnerabilità di escalation dei privilegi in un diverso plug-in di WordPress (Advanced Custom Fields Plugins) che ha interessato due milioni di siti web. La vulnerabilità ha offerto agli aggressori un modo sia per rubare dati sensibili dai siti interessati sia per aumentarne i privilegi.

Ad aprile, Sucuri ha riferito di una campagna denominata “Balada Injector”, in cui un autore di minacce, almeno negli ultimi cinque anni, è stato iniettando sistematicamente malware nei siti WordPress tramite plug-in vulnerabili. Il fornitore di sicurezza ha valutato che l’autore della minaccia dietro la campagna aveva infettato almeno un milione di siti WordPress con malware che reindirizzavano i visitatori del sito a siti di supporto tecnico falsi, siti di lotterie fraudolente e altri siti di truffa.

Sucuri ha scoperto che l’autore della minaccia utilizzava le vulnerabilità appena scoperte e, in alcuni casi, i bug zero-day per lanciare massicce ondate di attacchi contro i siti WordPress.

Gran parte dell’interesse degli aggressori per l’ecosistema WordPress ha a che fare con il suo utilizzo diffuso. Le stime sul numero esatto di siti WordPress in tutto il mondo variano ampiamente e alcuni fissano il numero verso l’alto 800 milioni. Il sito web di sondaggi tecnologici W3Techs, che alcuni considerano una fonte affidabile per le statistiche relative a WordPress, stima che alcuni Il 43% di tutti i siti web in tutto il mondo attualmente utilizzano WordPress.

Secondo Patchstack, il numero crescente di vulnerabilità segnalate nell’ecosistema WordPress non è necessariamente un segno che gli sviluppatori di plug-in stiano diventando più negligenti. Ciò che indica piuttosto è che i ricercatori di sicurezza stanno esaminando più attentamente.

“Ciò significa anche che l’ecosistema WordPress sta diventando più sicuro perché molti di questi bug di sicurezza vengono affrontati e corretti”, ha affermato Patchstack.