Vulnerabilità di tipo RCE nel plugin WP Duplicator

14/09/2018

CMS plugin rce wordpress wp duplicator
Il data 29 Agosto 2018 i ricercatori di Synacktiv hanno scoperto che il plugin Duplicator, per il CMS WordPress, nelle versioni precedenti la 1.2.42, non rimuove i file sensibili rimasti dopo una migrazione riuscita. Tra questi l’archivio ZIP originale e i file PHP. I file in questione, installer.php e installer-backup.php, potrebbero così essere riutilizzati dopo il processo di ripristino per iniettare codice PHP nel file wp-config.php.

Esecuzione di codice arbitrario
Un utente malintenzionato potrebbe abusare di questi script per eseguire codice arbitrario sul server web, ad esempio forzando lo script di installazione ad inserire i dati di backup in un database MySQL arbitrario o addirittura cambiare l’hash di un utente amministrativo per ottenere l’accesso al pannello e caricare un ulteriore plugin WordPress malevolo.

La patch
Il produttore del plugin ha rilasciato la versione aggiornata (1.2.42) del software che risulta disponibile anche tramite aggiornamento dal pannello di gestione di WordPress.
Il plugin che risulta presente anche su diversi siti Alexa è installato su un numero di CMS che supera il milione di unità:
 
 

PoC Pubblico
Synacktiv, nello stesso articolo dove informa del bug, ha incluso anche uno script proof-of-concept (PoC) che può facilmente essere utilizzato da malintenzionati per individuare i siti dove gli amministratori, dopo una migrazione effettuata tramite il plugin Duplicator, non hanno provveduto a rimuovere manualmente i file incriminati.
 
Non si esclude quindi un interesse da parte di aggressori nel lanciare scansioni massive su siti ed individuare una versione vulnerabile del plug-in per effettuare attacchi di tipo RCE sui server.

Contromisure
Per chi fa uso di questo plugin, si consiglia di provvedere rapidamente con gli aggiornamenti verificando l’esistenza dei file sensibili generati dal software se eventualmente presenti sull’istanza WordPress in uso.