Grave vulnerabilità scoperta sul plugin File Manager di WordPress

Ad inizio settembre è stata riscontrata un’importante falla di sicurezza su un plugin molto utilizzato per il CMS WordPress: File Manager. Questa vulnerabilità, di livello critico, potrebbe riguardare oltre 350.000 siti basati sulla nota piattaforma su un totale che supera le 700.000 installazioni.

Tale problema avrebbe consentito agli hacker di esecuzione di comandi e script dannosi per i siti di tutti coloro che utilizzano il plugin interessato. Mediante tale falla di sicurezza, infatti, qualsiasi utente non autenticato aveva la possibilità di caricare sul sito delle immagini contenenti webshell dannose dalle quali poi, tramite una interfaccia, sarebbe stato in possibile effettuare qualsiasi tipo di operazione nella directory di File Manager. Successivamente sarebbe stato possibile anche inserire script malevoli per infettare le parti vulnerabili dei siti.

È stato anche notato che coloro che, durante l’attacco ai siti col plugin File Manager, gli hacker stavano anche inserendo delle password a protezione delle parti vulnerabili per evitare che altri attaccanti potessero sfruttare al posto loro la falla. Questo ha fatto temere il peggio e sorgere qualche dubbio sulle azioni intraprese, poiché la “protezione dell’attacco” ha fatto anche presupporre di potersi aspettare maggiori rischi nei giorni successivi. Un altro fattore che ha creato molto allarme è stato quello della possibilità di caricamento di script PHP nelle varie cartelle del File Manager, che dà la possibilità agli hacker di inserire e cancellare tutto ciò che vogliono all’interno dei siti.

È stato però notato che, nelle prime ore dopo la scoperta della vulnerabilità, i vari file caricati erano molto spesso vuoti. Questo era probabilmente dovuto al fatto che gli hacker stavano iniziando a testare l’entità della falla per capire se c’erano effettivamente i presupposti per un attacco. Le versioni del plugin interessate sono quelle che vanno dalla 6.0 alla 6.8, ma la problematica osservata è stata prontamente fixata con l’aggiornamento alla versione 6.9, avvenuto poche ore dopo le prime segnalazioni. Chiaramente si ricorda che, se non lo si è ancora fatto e per i pericoli collegati a questa vulnerabilità, è necessario aggiornare al più presto il plugin al più presto.

Sempre a proposito di aggiornamenti per WordPress, è da segnalare anche l’uscita della versione 5.5.1 del CMS, che va ad inserire delle patch ad alcune problematiche sorte su numerosi siti dopo il passaggio alla versione 5.5 Eckstine (qui un approfondimento). Gli sviluppatori hanno stilato una lista contenente i vari bug ed i rafforzamenti al sistema riguardanti anche l’editor a blocchi. Inoltre, sul blog ufficiale sono stati anche elencati tutti gli oggetti JavaScript rimossi poiché problematici e rischiosi per il funzionamento di moltissimi plugin e temi che adesso andranno aggiornati. Anche di quest’ultimi è stato prontamente fornito un elenco.

L’invito è quindi quello di scaricare anche quest’ultima versione di WordPress, stando però attenti a seguire il consueto iter che prevede il backup di tutto il sito per evitare di subire altri problemi di natura ben più grave.

 

Fonti: 1, 2, 3