Il plug-in WordPress consente agli utenti di diventare amministratori: patch presto, patch spesso! – Novità Sophos

Se gestisci un sito WordPress con il file Membri definitivi plugin installato, assicurati di averlo aggiornato alla versione più recente.

Durante il fine settimana, il creatore del plugin ha pubblicato la versione 2.6.7che dovrebbe correggere una grave falla di sicurezza, descritta dall’utente @softwaregeek sul sito di supporto di WordPress come segue:

Una vulnerabilità critica nel plugin (CVE-2023-3460) consente a un utente malintenzionato non autenticato di registrarsi come amministratore e assumere il pieno controllo del sito web. Il problema si verifica con il modulo di registrazione del plugin. In questa maschera sembra possibile modificare alcuni valori per l’account da registrare. Ciò include il wp_capabilities valore, che determina il ruolo dell’utente sul sito web.

Il plugin non consente agli utenti di inserire questo valore, ma questo filtro risulta essere facile da aggirare, rendendo possibile la modifica wp_capabilities e diventa amministratore.

In altre parole, quando creano o gestiscono i propri account online, il modulo web lato client presentato agli utenti non consente loro ufficialmente di dotarsi di superpoteri.

Ma il software back-end non rileva e blocca in modo affidabile gli utenti non autorizzati che inviano deliberatamente richieste improprie.

Il plugin promette “facilità assoluta”

IL Software per membri definitivi ha lo scopo di aiutare i siti WordPress a offrire vari livelli di accesso utente, elencandosi come il “miglior profilo utente e plugin di iscrizione per WordPress”e nel suo trafiletto pubblicitario si presenta come:

Il plugin numero 1 per profili utente e iscrizioni per WordPress. Il plugin rende semplicissimo per gli utenti registrarsi e diventare membri del tuo sito web. Il plug-in ti consente di aggiungere bellissimi profili utente al tuo sito ed è perfetto per creare comunità online avanzate e siti di appartenenza. Leggero e altamente estensibile, Ultimate Member ti consentirà di creare quasi ogni tipo di sito a cui gli utenti possono iscriversi e diventare membri con assoluta facilità.

Sfortunatamente, i programmatori non sembrano molto fiduciosi nella propria capacità di abbinare la “facilità assoluta” di utilizzo del plugin con una forte sicurezza.

In un risposta ufficiale al rapporto sulla sicurezza di cui sopra di @softwaregeek, la società ha descritto il suo processo di correzione dei bug in questo modo [quoted text sic]:

Stiamo lavorando alle correzioni relative a questa vulnerabilità dalla versione 2.6.3 quando riceviamo un rapporto da uno dei nostri clienti. Le versioni 2.6.4, 2.6.5, 2.6.6 chiudono parzialmente questa vulnerabilità ma stiamo ancora lavorando insieme al team WPScan per ottenere il miglior risultato. Riceviamo anche il loro rapporto con tutti i dettagli necessari.

Tutte le versioni precedenti sono vulnerabili, quindi ti consigliamo vivamente di aggiornare i tuoi siti Web alla 2.6.6 e di mantenere gli aggiornamenti in futuro per ottenere i recenti miglioramenti della sicurezza e delle funzionalità.

Stiamo attualmente lavorando per risolvere un problema rimanente e rilasceremo un ulteriore aggiornamento il prima possibile.

Bug in molti posti

Se fossi in servizio di sicurezza informatica durante il famigerato Vulnerabilità Log4Shell durante le vacanze di Natale, alla fine del 2021, saprai che alcuni tipi di bug di programmazione finiscono per necessitare di patch che necessitano di patch e così via.

Ad esempio, se si verifica un overflow del buffer in un singolo punto del codice in cui hai inavvertitamente riservato 28 byte di memoria ma intendevi digitarne sempre 128, correggere quel numero errato sarebbe sufficiente per correggere il bug in una volta sola.

Ora, tuttavia, immagina che il bug non fosse dovuto a un errore di battitura in un solo punto del codice, ma che fosse causato dal presupposto che 28 byte fosse la dimensione del buffer corretta in ogni momento e in ogni luogo.

Tu e il tuo team di codifica potreste aver ripetuto il bug in altri punti del software, quindi è necessario prepararsi per una sessione prolungata di ricerca dei bug.

In questo modo, puoi pubblicare tempestivamente e in modo proattivo ulteriori patch se trovi altri bug causati dallo stesso errore o da un errore simile. (I bug sono generalmente più facili da trovare una volta che sai cosa cercare in primo luogo.)

Nel caso Log4J, gli aggressori hanno anche iniziato a setacciare il codice, sperando di trovare errori di codifica correlati altrove nel codice prima che lo facessero i programmatori Log4J.

Fortunatamente, il team di programmazione Log4J non solo rivisto il proprio codice per correggere i bug correlati in modo proattivo, ma hanno anche tenuto gli occhi aperti per nuovi exploit proof-of-concept.

Alcune nuove vulnerabilità sono state rivelate pubblicamente da eccitati cacciatori di bug che apparentemente preferivano la fama istantanea su Internet alla forma più sobria di riconoscimento ritardato che avrebbero ottenuto rivelando il bug in modo responsabile ai programmatori Log4J.

Abbiamo visto una situazione simile nella recente vulnerabilità di iniezione del comando MOVEit, in cui i membri del gruppo di ransomware Clop hanno trovato e sfruttato un bug zero-day nel front-end basato sul web di MOVEit, consentendo ai truffatori di rubare dati aziendali sensibili e quindi tentare di ricattare le vittime inducendole a pagare “soldi del silenzio”.

Progress Software, creatore di MOVEit, ha rapidamente corretto lo zero-day, quindi ha pubblicato un file seconda toppa dopo aver trovato bug correlati in una propria sessione di ricerca di bug, solo per pubblicare una terza patch poco dopo, quando un sedicente cacciatore di minacce ha trovato ancora un altro buco che Progress non aveva notato.

Purtroppo, quel “ricercatore” ha deciso di rivendicare il merito di aver scoperto la vulnerabilità pubblicandola per chiunque e tutti da vederepiuttosto che dare a Progress un giorno o due per affrontarlo prima.

Ciò ha costretto Progress a dichiararlo come un altro zero-day e ha costretto i clienti Progress a disattivare completamente la parte difettosa del software per circa 24 ore mentre un la patch è stata creata e testato.

In questo Membri definitivi situazione di bug, i creatori del plugin non erano così premurosi come i creatori di MOVEit, che consigliavano esplicitamente ai propri clienti di smettere di usare il software mentre quel nuovo e sfruttabile buco veniva riparato.

Gli Ultimate Members si sono limitati a consigliare ai propri utenti di tenere gli occhi aperti per gli aggiornamenti in corso, di cui la versione 2.6.7 recentemente pubblicata è la quarta di una catena di correzioni di bug per un problema notato per la prima volta a metà giugno 2023, quando la versione 2.6.3 era la versione successiva. numero della versione corrente.

Cosa fare?

• Se sei un utente UltimateMember, aggiorna urgentemente la patch. Dato il modo frammentario con cui il team di codifica del plugin sembra affrontare questo problema, assicurati di cercare aggiornamenti futuri e di applicarli anche tu il prima possibile.
• Se sei un programmatore lato server, presumi sempre il peggio. Non fare mai affidamento sul codice lato client che non puoi controllare, come HTML o JavaScript eseguito nel browser dell’utente, per garantire che i dati di input inviati siano sicuri. Convalida i tuoi inputcome ci piace dire su Naked Security. Misurare sempre, mai dare per scontato.
• Se sei un programmatore, cerca ampiamente i problemi correlati quando viene segnalato un bug. Gli errori di codifica commessi in un posto da un programmatore potrebbero essere stati duplicati altrove, sia dallo stesso programmatore che lavora su altre parti del progetto, sia da altri programmatori che “imparano” cattive abitudini o seguono con fiducia presupposti di progettazione errati.