I CMS sono sempre più diffusi sul Web: rendono agevole la realizzazione di un sito anche a chi non ha particolari competenze e sono ormai la soluzione di preferenza sia per progetti amatoriali che professionali. Una domanda affligge però gli esperti di sicurezza: i CMS possono agevolare la diffusione del malware?
A grandi linee, la risposta sembrerebbe essere affermativa: WordPress, Joomla e Drupal sono sempre più utilizzati come vettori per gli attacchi malware, tanto che proprio il recente exploit sulle testate statunitensi, in particolare sul New York Times, sembrano essere state generate da delle vulnerabilità di migliaia di siti WordPress utilizzati come ospiti, il tutto senza che i proprietari ne fossero consapevoli. Così spiega James Brown, CEO della società di controllo StillSecure:
Quando le vulnerabilità si manifestano su questi CMS, è molto peggio rispetto a una falla su un sito di creazione propria. Questo perché l'attacco coinvolge chiunque abbia un sito in WordPress piuttosto che una sola pagina. àˆ inoltre più probabile che le vulnerabilità siano largamente conosciute e, quindi, largamente sfruttate. [...] Un malintenzionato può iniettare del codice per ottenere l'accesso al sottostante sistema operativo o può sovvertire un sito e sfruttare la fiducia degli utenti per raccogliere dati personali. In entrambi i casi, si ottiene molto di più rispetto al singolo accesso: si raggiungono reti corporate interne e si possono sfruttare i dati dei clienti.
WordPress da solo alimenta circa 60 milioni di siti Web, circa un quinto di tutte le pagine disponibili oggi in Rete. Così come si è visto da una ricerca pubblicata qualche settimana fa, la top 50 dei plugin di WordPress più scaricati contiene il 20% delle vulnerabilità soggette agli attacchi malware, tanto da coinvolgere un numero talmente alto di siti da renderli un vero e proprio network di intrusioni e proliferazione di codice malevolo. La società d'analisi Checkmark ha infatti spiegato come alcune falle, come quella nota di TimThumb LFI, siano in grado di compromettere in poche ore circa 1,2 milioni di siti causando redirect non voluti verso malware, trojan e spyware per oltre 200.000 singole pagine.
I CMS sono quindi da evitare, magari in un'ottica di protezione del proprio e altrui business? La risposta è ovviamente negativa. I CMS non sono una sventura, sono degli ottimi strumenti per amministrare i contenuti, per diffonderli in modo facile e per rendersi compatibili con le più comuni regole di indicizzazione SEO. Quella che deve essere modificata è la fiducia verso lo strumento, specie durante l'installazione di prodotti terzi: non è raro, infatti, che i tanto famigerati plugin siano installati con leggerezza, senza nessuna verifica sulle loro origini. Così spiega Josh Little, consulente di sicurezza e manager per Viopoint:
Molti degli utilizzatori non realizzano le preoccupazioni di sicurezza inerenti queste piattaforme. Troppa fiducia è concessa alla piattaforma CMS, a cui si aggiunge pochi o nessun controllo da parte dello staff anche sulle terze parti, quest'ultime potenzialmente in grado di aggiungere seri problemi di sicurezza.
Vi sono però anche attacchi più sottili, così come ricorda David Moeller, CEO di CodeGuard. Molto spesso le vulnerabilità dei CMS vengono sfruttate non per la diffusione del malware, bensì per le attività di spamming. Raggiunti i dati di clienti o di lettori affezionati, si possono spedire mail di spam o di phishing approfittando della reputazione del proprio sito per trarre in inganno l'utente.
Fonte: DarkReading