WordPress: falla in plugin di sicurezza minaccia 4 milioni di siti

Recentemente è stata scoperta una vulnerabilità critica di bypass dell'autenticazione che ha un impatto sul plugin WordPress 'Really Simple Security' (in precedenza 'Really Simple SSL'). Questa colpisce sia la versione gratuita che quella Pro. Really Simple Security è un plugin di sicurezza che offre configurazione SSL, protezione dell'accesso, autenticazione a due fattori e rilevamento delle vulnerabilità in tempo reale. La sua versione gratuita da sola è utilizzata in oltre quattro milioni di siti web. Wordfence, che ha reso pubblica la falla, la definisce una delle vulnerabilità più gravi segnalate nei suoi 12 anni di storia. Secondo il team di sicurezza, questa consente ad aggressori remoti di ottenere pieno accesso amministrativo ai siti interessati.

A peggiorare le cose, il difetto può essere sfruttato tramite script automatizzati, portando potenzialmente a campagne di acquisizione di siti web su larga scala. Tale è il rischio che Wordfence propone che i provider di hosting forzino l'aggiornamento del plugin sui siti dei clienti. Inoltre, consiglia loro di analizzare i database di tali utenti per assicurarsi che nessuno esegua una versione vulnerabile.

WordPress: vulnerabilità risolta, ma bisogna aggiornare Really Simple Security

La falla di WordPress di gravità critica in questione è CVE-2024-10924, scoperta dal ricercatore di Wordfence, István Márton, lo scorso 6 novembre. Questa è causata da una gestione impropria dell'autenticazione utente nelle azioni API REST a due fattori del plugin. Ciò consente l'accesso non autorizzato a qualsiasi account utente, inclusi gli amministratori. In particolare, il problema risiede nella funzione 'check_login_and_get_user()' che verifica le identità degli utenti controllando i parametri 'user_id' e 'login_nonce'. Quando 'login_nonce' non è valido, la richiesta non viene rifiutata, come dovrebbe, ma richiama invece 'authenticate_and_redirect()', che autentica l'utente in base al solo 'user_id', consentendo di fatto l'aggiramento dell'autenticazione. Il difetto è sfruttabile quando è abilitata l'autenticazione a due fattori (2FA). Anche se è disabilitata di default, molti amministratori la consentiranno per una maggiore sicurezza dell'account. CVE-2024-10924 ha un impatto sulle versioni del plugin dalla 9.0.0 alla 9.1.1.1 delle release "free", "Pro" e "Pro Multisite".

Lo sviluppatore ha risolto il difetto assicurandosi che il codice ora gestisca correttamente i fallimenti di verifica di 'login_nonce', uscendo immediatamente dalla funzione 'check_login_and_get_user()'. Le correzioni sono state applicate alla versione 9.1.2 del plugin di WordPress, rilasciata il 12 novembre per la versione Pro e il 14 novembre per gli utenti gratuiti. Il fornitore si è coordinato con WordPress.org per eseguire aggiornamenti di sicurezza forzati sugli utenti del plugin. Tuttavia, gli amministratori del sito web devono comunque controllare e assicurarsi di utilizzare la versione più recente (9.1.2). Gli utenti della versione Pro hanno gli aggiornamenti automatici disattivati ​​quando scade la licenza. Per questo motivo bisogna effettuare l’aggiornamento manuale alla versione 9.1.2. Nelle scorse ore, il sito di statistiche WordPress.org, che monitora le installazioni della versione gratuita del plugin, ha rilevato circa 450.000 download del plugin. Ciò significa che sono ancora attivi 3.500.000 siti potenzialmente ancora esposti alla vulnerabilità.