Vulnerabilità Zero-Day timthumb WebShot lascia Migliaia di WordPress Blog a rischio

Giusto ieri abbiamo appreso di una vulnerabilità critica di Zero-Day in una libreria di ridimensionamento immagini chiamata TimThumb, che viene utilizzato quotidianamente da migliaia di temi e plugin di WordPress.

Come ben sappiamo, WordPress è uno strumento di blogging Open Source ed un sistema di gestione dei contenuti (CMS) con oltre 30.000 plugin, ognuno dei quali offre funzioni personalizzate e funzionalità che permettono agli utenti di personalizzare i propri siti in base alle loro esigenze, quindi è facile da installare ed utilizzare e proprio per questo motivo che decine di milioni di siti web in tutto il mondo lo utilizzano.

Ma se siete una compagnia, o un privato che rientrano tra quegli utenti che utilizzano il popolare servizio di ridimensionamento immagini chiamato “TimThumb” sappiate che è giunto il momento di aggiornare il file con la versione più recente della libreria, inoltre vi invito a controllare il sito TimThumb a cadenza regolare per gli aggiornamenti e patch.

Zero-Day esecuzione di codice remoto & no patch.

La vulnerabilità critica scoperta da Pichaya Morimoto nel timthumb plugin di WordPress, versione 2.8.13, risiede nella sua funzione “Webshot” che, se abilitata, consente agli aggressori di eseguire comandi su un sito web remoto, ovvero la vulnerabilità consente a un utente malintenzionato di eseguire da remoto codice PHP arbitrario sul sito interessato. Una volta che il codice PHP è stato eseguito, il sito può essere facilmente compromesso. Fino ad ora (al momento della stesura dell’articolo), non vi è alcuna patch per la falla.

“Con un semplice comando, un utente malintenzionato può creare, rimuovere e modificare qualsiasi file sul server”, dicono esperti di sicurezza di Sucuri in un post sul blog.”

Usando i seguenti comandi, un hacker può creare, cancellare e modificare qualunque file:

http://vulnerablesite.com/wp-content/plugins/pluginX/timthumb.php?webshot=1&src=http://vulnerablesite.com/$(rm$IFS/tmp/a.txt) 

http://vulnerablesite.com/wp-content/plugins/pluginX/timthumb.php??webshot=1&src=http://vulnerablesite.com/$(touch$IFS/tmp/a.txt)

Chi è a rischio?

Purtroppo ci sono diversi plugin e temi WordPress che utilizzano questa libreria come impostazione predefinita.

Alcuni di questi sono:

• Timthumb 2.8.13 plugin WordPress
• WordThumb 1.07 è anche utilizzando lo stesso codice WebShot vulnerabile.
• WordPress Plugin Galleria
• IGIT Posts Slider Widget 
• Tutti i temi WordPress di Themify contengono wordthumb vulnerabili nella posizione “/ themify / img.php”.

La buona notizia è che timthumb viene fornito con l’opzione webshot disabilitata per impostazione predefinita, in modo che solo le installazioni manuali che hanno attivato manualmente la funzione webshot di timthumb sono vulnerabili alla falla.

Controllate e disabilitate timthumb “WebShot”.

Il file timthumb all’interno del vostro tema o directory dei plugin, di solito si trova in “/ wp-content/themes / / path / to / timthumb.php.”

Cercate “WEBSHOT_ENABLED” , se lo trovate come: define (‘WEBSHOT_ENABLED’, true), impostate il valore su “false”, ad esempio, define (‘WEBSHOT_ENABLED’, false)

Purtroppo, diverse simili falle di sicurezza sono state scoperte in timthumb in passato, lasciando milioni di siti web “WordPress powered” vulnerabili agli attacchi.

Conclusioni personali.

Alla luce di quanto sopra riportato, la domanda sorge spontanea, ovvero: Perchè lasciare spazoi a questa libreria che, se pur funzionale e comoda, ha causa diversi problemi spesso e volentieri?

Non me ne vogliano gli sviluppatori, ma se sono stati presi sotto attacco cosi frequentemente, direi che è giunto il momento di fare qualche cambiamento importante, anche se questo significa rimpiazzare o tagliare qualche testa per il bene del loro lavoro e per il bene (soprattutto) degli utenti.

Per il resto ricordate sempre di avere i vostri plugin aggiornati, controllate sempre i feed ed i comunicati da parte dei loro sviluppatori in modo da salvaguardare il vostro lavoro.

Potrebbero interessarti anche :

• Android M per Sony Xperia: ecco una Test Build funzionante

• WordPress per Android si aggiorna alla versione 4.1

• Come installare il widget dei Top Commentatori con Avatar per Blogger.

• Software Free & Open Source: gli articoli più letti nel mese di Maggio 2015.