Un bug critico di esecuzione del controllo remoto (RCE) non autenticato in un plug-in di backup che è stato scaricato più di 90.000 volte espone siti WordPress vulnerabili da prendere in consegna – un altro esempio dell’epidemia di rischi posti da plug-in difettosi per la piattaforma di creazione di siti web.
Un gruppo di ricercatori di vulnerabilità chiamati Nex Team hanno scoperto una vulnerabilità di iniezione di codice PHP in Migrazione di backupun plug-in che gli amministratori dei siti WordPress possono utilizzare per facilitare la creazione di un sito di backup. Il bug viene tracciato come CVE-2023-6553 e valutato 9,8 sulla scala di gravità della vulnerabilità CVSS.
Le funzionalità del plug-in includono la possibilità di pianificare i backup in modo che vengano eseguiti in modo tempestivo e con varie configurazioni, inclusa la definizione esatta di quali file e/o database dovrebbero essere nel backup, dove verrà archiviato il backup, il nome del backup , eccetera.
“Questa vulnerabilità consente agli autori di minacce non autenticati di iniettare codice PHP arbitrario, compromettendo l’intero sito”, ha scritto Alex Thomas, ricercatore senior sulle vulnerabilità delle applicazioni Web presso Defiant. in un post sul blog per Wordfence su CVE-2023-6553. Wordfence ha affermato di aver bloccato 39 attacchi mirati alla vulnerabilità solo nelle 24 ore precedenti la scrittura del post.
I ricercatori del Nex Team hanno sottoposto il bug a un programma bug-bounty creato di recente da Wordfence. Wordfence notificato BackupBlissi creatori del plug-in Backup Migration e alcune ore dopo è stata rilasciata una patch.
L’azienda ha anche assegnato a Nex Team $ 2.751 per aver segnalato il bug al suo programma bounty, che è stato appena lanciato l’8 novembre. Finora, Wordfence ha riferito che c’è stata una risposta positiva al suo programma, con 270 ricercatori di vulnerabilità registrati e quasi 130 segnalazioni di vulnerabilità. nel suo primo mese.
Esposto all’acquisizione completa e non autenticata del sito
Con centinaia di milioni di siti web costruiti sul sistema di gestione dei contenuti WordPress (CMS), la piattaforma e i suoi utenti rappresentano un ampia superficie di attacco per gli autori delle minacce e quindi sono obiettivi frequenti di campagne dannose. Molti di questi arrivano plug-in che installano malware e forniscono un modo semplice per esporre migliaia o addirittura milioni di siti a potenziali attacchi. Anche gli aggressori tendono ad agire rapidamente salta sui difetti che vengono scoperti in WordPress.
Il difetto RCE deriva dal fatto che “un utente malintenzionato è in grado di controllare i valori passati a un include e successivamente sfruttarli per ottenere l’esecuzione remota del codice”, secondo un post sul sito Wordfence. “Ciò consente agli aggressori non autenticati di eseguire facilmente codice sul server.”
Nello specifico, secondo Wordfence, la riga 118 all’interno del file /includes/backup-heart.php utilizzato dal plug-in Backup Migration tenta di includere bypasser.php dalla directory BMI_INCLUDES. La directory BMI_INCLUDES viene definita concatenando BMI_ROOT_DIR con la stringa include alla riga 64; tuttavia, BMI_ROOT_DIR è definito tramite l’intestazione HTTP content-dir alla riga 62, il che crea il difetto.
“Ciò significa che BMI_ROOT_DIR è controllabile dall’utente”, ha scritto Thomas. “Inviando una richiesta appositamente predisposta, gli autori delle minacce possono sfruttare questo problema per includere codice PHP arbitrario e dannoso ed eseguire comandi arbitrari sul server sottostante nel contesto di sicurezza dell’istanza WordPress.”
Patch CVE-2023-6553 in Migrazione backup adesso
Tutte le versioni di Backup Migration fino alla 1.3.7 inclusa tramite il file /includes/backup-heart.php sono vulnerabili al difetto, che è stato corretto nella versione 1.3.8. Secondo Wordfence, chiunque utilizzi il plug-in su un sito WordPress dovrebbe aggiornarlo il prima possibile alla versione con patch.
“Se conosci qualcuno che utilizza questo plug-in sul proprio sito, ti consigliamo di condividere con lui questo avviso per proteggere il suo sito rimane sicuropoiché questa vulnerabilità rappresenta un rischio significativo”, secondo il post di Wordfence.