WordPress 5.1.1 Security and Maintenance Release

15/03/2019

CSRF Security Update wordpress

È stata rilasciata la versione 5.1.1 del popolare CMS WordPress. Il vendor invita gli utenti ad aggiornare quanto prima le proprie installazioni in quanto il rilascio in oggetto è stato classificato come “Security and Maintenance Release“.

La nuova versione, oltre a introdurre ben 14 bug fix e miglioramenti, risolve una vulnerabilità cross-site request forgery (CSRF) del core di WordPress causata dal modo in cui vengono filtrati i commenti e archiviati nel database dell’applicativo. Tale vulnerabilità potrebbe consentire l’esecuzione di codice in modalità remota da parte di un utente malintenzionato non autenticato su qualsiasi installazione di WordPress precedente alla versione 5.1.1 .

Descrizione della vulnerabilità

Secondo il ricercatore di sicurezza Simon Scannell di RIPS Technologies che ha scoperto la falla, un attaccante può, attraverso l’uso dei commenti di WordPress, ingannare l’amministratore di un sito WordPress facendogli visitare un sito differente e precedentemente compromesso. In seguito a tale visita, un exploit applicato alla vulnerabilità di tipo CSRF viene eseguito in backgroud sul sito WordPress target, senza che la vittima se ne accorga. L’exploit CSRF sfrutta molteplici errori logici e di controllo degli input che, se combinati, portano all’esecuzione di codice in modalità remota e al controllo completo del sito da parte dell’attaccante.

Come illustrato nel video di RIPS Technologies, WordPress non effettua nessuna validazione CSRF quando un utente posta un nuovo commento. Questo permette ad un attaccante di creare un commento a nome dell’utente administrator contenente codice  JavaScript. L’amministratore del sito, accorgendosi del nuovo commento, viene indotto a visitare il sito web malevolo. A questo punto viene iniettato un payload XSS nel sito web target vulnerabile a CSRF.

Il payload XSS, una volta memorizzato nel sito compromesso, viene eseguito all’interno di un iFrame nascosto. In conclusione, abusando della sessione di amministratore attiva, un attaccante potrebbe,  attraverso l’esecuzione di codice javascript, installare un plugin contenente una backdoor, ottenendo così i diritti di esecuzione di codice arbitrario da remoto.


Rimedio

WordPress di default installa automaticamente gli aggiornamenti di sicurezza, di conseguenza il CMS dovrebbe essere già aggiornato alla versione 5.1.1. Nel caso in cui la funzionalità di auto-update fosse disabilitata o non si voglia procedere subito all’applicazione della security patch, l’unica soluzione per evitare attacchi CSRF  è la disabilitazione dei commenti.

Si consiglia di effettuare sempre il logout dalla sessione di amministratore prima di visitare altri siti web e di effettuare un backup completo del proprio sito internet prima di procedere con le operazioni di aggiornamento avendo avuto cura di disabilitare i plugin di terze parti.

Riferimenti