Il ricercatore inglese Sam Thomas ha realizzato un proof-of-concept per una vulnerabilità PHP nota da tempo, che colpirebbe sistemi CMS come Typo3 e il diffusissimo WordPress. La vulnerabilità, presentata all’ultima edizione di Black Hat, consente l’esecuzione remota di codice arbitrario. Secondo il ricercatore è stata segnalata al team di WordPress già nel febbraio 2017, ma l’exploit è ancora presente anche nell’ultima versione del noto CMS.
La vulnerabilità si basa sullo stream wrapper “phar://” (relativo ai file PHp ARchive) che assiste nell’implementazione delle funzionalità di file handling. In particolare a essere sfruttata è la capacità di deserializzazione (ricostruire gli oggetti a partire da una stringa), che presenta delle vulnerabilità.
L’attacco sfrutta una serie di vulnerabilità che in passato erano considerate a basso impatto, come l’XXE (XML External Entity processing), e richiede che l’attaccante inserisca un file all’interno del file system. Questo in realtà non è particolarmente difficile, basti pensare ai diritti che hanno i vari utenti di un blog WordPress, anche senza avere l’accesso di amministratore. Basta che le credenziali di un utente siano compromesse per rendere vulnerabile l’intero sito.
Oltre a WordPress e Typo3 risulta vulnerabile anche la libreria per la generazione di file PDF TCPDF. Attualmente non sembrano esservi rimedi per gli utenti o gli amministratori dei blog, poiché i ricercatori non sono riusciti a disabilitare l’estensione Phar. Per mitigare i rischi ai blog con molti utenti è sempre consigliabile rendere gli account sicuri con password solide, variate frequentemente e con un sistema di autenticazione multi-fattore per ogni autore.