Lo scorso Agosto una vulnerabilità sulla libreria timbthumb.php ha messo a rischio milioni di blog basati su WordPress. La minaccia è ancora attiva ed è sfruttata quotidianamente per violare centinaia di siti. Ecco perchè l’analisi e lo screening del tuo blog sono fondamentali per non diventare l’ennesima vittima dei blackhat.
![wordpress 300x186 Wordpress e timthumb.php, rischi, difese e risoluzione [parte I]](http://blog.servermanaged.it/wp-content/uploads/2011/11/wordpress.png "wordpress")
Nello scorso mese di Agosto milioni di blog basati su WordPress sono stati messi a rischio da una vulnerabilità all’interno della libreria timthumb.php. Timthumb.php è una libreria utilizzata all’interno di centinaia di temi e di plugin per la popolarissima piattaforma di blogging WordPress. Nonostante lo sviluppo di WordPress sia incentrato sulla sicurezza e sulla pronta chiusura dei bug la solidità delle applicazioni web viene messa spesso a repentaglio proprio da estensioni esterne e non incluse all’interno del core della piattaforma stessa. E’ il caso dei numerosissimi plugin integrabili in WordPress e liberamente disponibili in rete.
La struttura di timthumb.php è delegata al ridimensionamento dei file immagine che possono essere caricati su WordPress ed è la libreria di default per numerosi plugin.La vulnerabilità è stata scoperta durante gli ultimi giorni di Luglio 2011 dopo l’hacking del blog dello stesso sviluppatore di Timthumb che resosi conto dell’accaduto ha prontamente annunciato la vulnerabilità al pubblico. La falla all’interno di timthumb.php consente ad un soggetto attaccante di provocare il caricamento remoto di qualsiasi file proveniente da un sito web che si presenta come flickr.com, picasa.com,img.youtube.com o blogger.com
$allowedSites = array (
’flickr.com’,
’picasa.com’,
’img.youtube.com’,
);
Nella pratica lo script non effettua nessun controllo sul nome host del file remoto che si cerca di includere o meglio, applica un controllo parziale cosicchè ogni sito web con la parte iniziale dell’hostname composta dai nomi a dominio contenuti nell’array viene ritenuto come valido. Questa falla ha aperto una porta d’ingresso in migliaia di blog WordPress, una via d’entrata prontamente sfruttata dai blackhat.
L’upload di file malevoli su blog e siti web è uno degli obiettivi più ambiti per i blackhat perchè è grazie a queste intrusioni che molto spesso è possibile guadagnareil controllo dell’intero sito o nella peggiore delle ipotesi dell’intero server che ospita il sito stesso.
[ Remote Admin e PHP Shell, ecco cosa puo’ nascondere il tuo server ]
[ PHP Shell e mailer, malware in Php ]
La vulnerabilità di timthumb.php ha provocato l’infezione di migliaia di blog che sono diventati parte integrante di botnet o trampolini di lancio per infezioni di massa ai danni dei visitatori del blog stesso. Le fasi dell’attacco seguono generalmente un pattern ben definito come testimoniano le centinaia di righe di log esaminate dal nostro staff. I blackhat utilizzano tool automatici per velocizzare la scansione sul web alla ricerca di blog vulnerabili seguendo questi passaggi :
1. scansione di vulnerabilità su migliaia di blog
2. individuazione del plugin o del tema vulnerabile
3. iniezioni del o dei file malevoli
4. violazione completa del blog o dell’intero server
Dopo queste prime fasi principali che determinano l’intrusione sul sistema il soggetto attaccante ha a disposizione varie possibilità a seconda del livello di sicurezza offerto dal server su cui il blog risiede. I server più deboli (a titolo di esempio quelli configurati con mod-php) possono essere gravemente esposti alla minaccia della compromissione root nel momento in cui la macchina sia in esecuzione con scarsi meccanismi di protezione o con un kernel troppo datato. I server configurati in modo più sicuro soffriranno invece di una compromissione a livello di virtual host e sperimenteranno molto probabilmente dei rallentamenti a causa dell’infezione in corso. Nella stragrande maggioranza dei casi inoltre l’attacco ha come scopo quello di distruggere completamente il blog non prima di aver estratto l’intero database sql con danni facilmente prevedibili.
Fine prima parte
![more Wordpress e timthumb.php, rischi, difese e risoluzione [parte I]](http://blog.servermanaged.it/wp-content/plugins/sociable/images/option1/32/more.png "Google Reader")
![closelabel Wordpress e timthumb.php, rischi, difese e risoluzione [parte I]](http://blog.servermanaged.it/wp-content/plugins/sociable/images/closelabel.png "close")
Pingback: WordPress e timthumb.php, rischi, difese e risoluzione [parte II] | Servizi managed e gestione server dedicati e VPS – Il blog di Servermanaged.it