WordPress: aggiornamento urgente per un plugin di autenticazione

Dopo aver parlato della versione 6.7 di WordPress appena rilasciata vediamo un nuovo approfondimento relativo alla sicurezza del CMS, che come sappiamo è spesso messa a repentaglio per via di plugin ed altri strumenti aggiuntivi esterni per i quali vengono riscontrate vulnerabilità potenzialmente molto gravi. Nel caso di oggi parliamo di una falla di sicurezza su un plugin che dovrebbe rafforzarla e che viene utilizzato da un numero molto alto di utenti, ovvero 4 milioni in tutto il mondo.

Il plugin in questione è Really Simple Security, già noto come Really Simple SSL, che sia nella versione gratis che in quella a pagamento conterrebbe una vulnerabilità che è stata valutata con gravità 9.8 su 10 per le versioni che vanno dalla 9.0.0.0 alla 9.1.1.1. Questa falla di sicurezza si mostra in tutta la sua gravità in quanto si trova all’interno del bypass per l’autenticazione ai siti, dando quindi l’opportunità a coloro che la sfruttano di effettuare accessi con privilegi elevati da remoto e quindi effettuare una lunga lista di operazioni dannose che già in altri approfondimenti abbiamo specificato. Ancora più grave è che questa mancanza di sicurezza nel percorso di autenticazione si trova proprio nelle procedure per la 2FA, ovvero l’autenticazione a due fattori che dovrebbe essere baluardo di una maggiore protezione degli account. Gli utenti che l’hanno abilitata e che stanno utilizzando Really Simple Security o Really Simple Security Pro sono attualmente esposti a grossissimi rischi.

Gli esperti si sono accorti del problema il 6 novembre scorso e già dal 7 novembre gli sviluppatori di Really Simple Security si sono attrezzati per la patch, uscita il 12 novembre per la versione a pagamento e il 14 per la versione gratuita. Anche gli stessi sviluppatori di WordPress, vista la gravità della situazione si sono attivati aprendo un thread sul forum ufficiale e provando, per coloro che non hanno abilitato gli aggiornamenti automatici, a procedere con l’update forzato dei plugin. Ovviamente questo è stato possibile anche per via del rilascio della versione 9.1.2, completamente patchata, da parte degli sviluppatori di Really Simple Security, che adesso chiedono a tutti gli utenti di procedere ad installarla e di spargere la voce il più possibile, vista l’ampia platea di vittime potenzialmente esposte.

Lo stesso consiglio è quello che viene dato dai tecnici di Wordfence, che solitamente mettono in prima linea la protezione offerta dalle loro soluzioni e che invece stavolta si sono spesi in modo molto deciso a chiedere di installare l’aggiornamento del plugin vulnerabile, promettendo una protezione per la falla per il prossimo 6 dicembre. Sebbene ne abbiamo visti tantissimi, questi casi di problemi relativi alla sicurezza di plugin utilizzati da una mole enorme di utenti globali di WordPress sono difficilmente arginabili poiché niente è assolutamente scevro da errori quando si tratta di programmazione. Ciò che si può fare, da meri utenti, è prestare sempre tantissima attenzione alle notizie, all’attualità del mondo tecnologico ed ai propri canali online, siano essi siti, applicazioni o qualsiasi altro mezzo di pubblicità. I danni da distrazione sono sicuramente molto più pesanti della costanza nel fare attenzione a tutto ciò che ci riguarda da vicino.

 

Fonte: 1