Vulnerabilità zero day su WordPress, il rischio è ancora alto

Posted on Tue, 20 Sep 2011 16:29:58 +0000 by staff

Nonostante sia trascorso più di un mese dall’annuncio della vulnerabilità della libreria timtumb.php su WordPress e nonostante molti utenti siano corsi ai ripari aggiornando il codice vulnerabile ancora adesso i tentativi di sfruttare la falla da parte dei blackhat sono molto frequenti sulle migliaia di blog WordPress attivi in rete. Il nostro staff ha rilevato a partire già dai primi giorni di Agosto (momento in cui la vulnerabilità è stata diffusa) numerosi tentativi di infezione sulle piattaforme server gestite, tentativi che ovviamente non sono andati a buon fine grazie agli sbarramenti di difesa attivi su tutti i server dei nostri clienti. Ritrovarsi con un blog compromesso può essere più frequente di quanto si possa pensare e molto spesso le infezioni sono silenziose allo scopo di indurre pochi sospetti nell’utente colpito.

L’obiettivo principale di un attacco su un blog WordPress è quello di sfruttare le vulnerabilità RFI (remote file inclusion) allo scopo di eseguire l’upload di file malevoli sullo spazio web colpito. Alcuni degli ultimi script malevoli analizzati sono stati creati allo scopo di effettuare il collegamento con un server IRC esterno che viene utilizzato per la creazione di una o più botnet di blog WordPress infetti. Le botnet in oggetto sono nella maggioranza dei casi gestite da soggetti indonesiani, molto spesso gli stessi autori delle reti ecommerce infette basate su osCommerce di cui ci siamo occupati in precedenza su questo blog.

Di seguito alcuni estratti dei bot Php recuperati dove è chiaramente visibile la parte di codice dedicata alla connessione con i server IRC delle botnet :

Anche a distanza di anni o mesi dalla release di una vulnerabilità è altamente probabile che gruppi di blackhat siano intenzionati a sfruttare questi exploit bersagliando migliaia di blog alla ricerca delle installazioni vulnerabili e non aggiornate, che sono comunque in una percentuale sempre molto alta. I punti salienti della difesa :

- mai abbassare la guardia anche a distanza di mesi dall’uscita della vulnerabilità

- aggiornare, aggiornare, aggiornare

- verificare elementi sospetti come connessioni verso porte riconducibili al traffico IRC (6667,6668,6669,7000,7050) o rallentamenti del server

- prevedere verifiche periodiche del server che ospita i siti o i blog dell’utente

Post simili:

Vulnerabilità zero day su WordPress

Posted on Tue, 02 Aug 2011 18:11:12 +0000 by staff

WordPress è affetto da una vulnerabilità zero day contenuta nello specifico all’interno del file timthumb.php, un’utility di ridimensionamento delle immagini inclusa in migliaia di temi gratuiti e commerciali utilizzati da milioni di utenti WordPress. A causa di una stesura del codice poco curata lo script permetterebbe ad un attaccante di eseguire l’upload di qualsiasi file malevolo all’interno della directory cache della libreria timthumb.

Al momento non esiste ancora una patch per la vulnerabilità e lo sviluppatore della libreria è al lavoro su una risoluzione dopo che il blog dello stesso programmatore è stato vittima di un hacking che è stato possibile grazie proprio alla debolezza del codice di timthumb, la classica legge del contrappasso. Il nostro staff è già attivo nell’analisi e nella scansione degli spazi web ospitati sui server dei nostri clienti per la messa in sicurezza di eventuali blog che fossero stati vittima di attacco. Se sei un nuovo cliente e vuoi prenotare una scansione di sicurezza del tuo server contattaci all’indirizzo info[at]servermanaged.it o registrati e apri un ticket nella nostra area clienti.

Tra le vulnerabilità più pericolose che possono affliggere un applicativo web vi sono quelle che permettono ad un attaccante di caricare file malevoli sullo spazio ftp del sito web vulnerabile. Le shell PHP costituiscono un’arma pericolossisima che un attaccante può utilizzare per avere letteralmente il pieno controllo di un sito web. Una shell PHP consente di eseguire praticamente qualsiasi operazione sui file contenuti nello spazio web come l’upload, la modifica, la creazione, la cancellazione e la rinominazione di file e directory. Ancora una volta appare evidente che le caratteristiche di grande sicurezza di una piattaforma di blogging come WordPress vengono messe alla prova da vulnerabilità molto grossolane all’interno delle librerie esterne che costituiscono sempre più spesso i punti di attacco principali esposti alle mire dei blackhat.

Post simili:

Breve guida all’aggiornamento di WordPress

Posted on Sun, 10 Jul 2011 23:59:45 +0000 by staff

“Le applicazioni web costituiscono uno dei principali talloni d’Achille delle infrastrutture informatiche. Una corretta pianificazione degli aggiornamenti può aiutare a prevenire i rischi più comuni.”

Come molti di voi sapranno WordPress ha reso da poco disponibile il download della versione 3.2, un’importante tappa della vita di questo popolarissimo sistema di blogging. Gli aggiornamenti e di sistema e di applicativo costituiscono un passaggio fondamentale per la sicurezza delle piattaforme server. La maggior parte delle intrusioni avviene infatti a causa di software troppo datati e per la mancata applicazione degli aggiornamenti vitali di sistema. Le applicazioni web non sfuggono a questa raccomandazione ed è per questo motivo che in presenza dell’uscita delle nuove versioni è necessario applicare tempestivamente gli update. Il motivo principale per cui spesso gli utenti sono intimiditi dalla procedura di aggiornamento è il timore di perdere i dati ed i post accumulati con cura nel corso dei mesi. Seguendo i semplici passaggi che seguono sarete in grado di aggiornare la vostra installazione di WordPress senza colpo ferire. Continue reading →

Servizi managed e gestione server dedicati e VPS – Il blog di Servermanaged.it

Category Archives: Wordpress

Vulnerabilità zero day su WordPress, il rischio è ancora alto

Post simili:

Vulnerabilità zero day su WordPress

Post simili:

Breve guida all’aggiornamento di WordPress

Post simili: