Vulnerabilità PHP mette a rischio i siti in WordPress e Typo3

Il ricercatore inglese Sam Thomas ha realizzato un proof-of-concept per una vulnerabilità PHP nota da tempo, che colpirebbe sistemi CMS come Typo3 e il diffusissimo WordPress. La vulnerabilità, presentata all’ultima edizione di Black Hat, consente l’esecuzione remota di codice arbitrario. Secondo il ricercatore è stata segnalata al team di WordPress già nel febbraio 2017, ma l’exploit è ancora presente anche nell’ultima versione del noto CMS.

La vulnerabilità si basa sullo stream wrapper “phar://” (relativo ai file PHp ARchive) che assiste nell’implementazione delle funzionalità di file handling. In particolare a essere sfruttata è la capacità di deserializzazione (ricostruire gli oggetti a partire da una stringa), che presenta delle vulnerabilità.

L’attacco sfrutta una serie di vulnerabilità che in passato erano considerate a basso impatto, come l’XXE (XML External Entity processing), e richiede che l’attaccante inserisca un file all’interno del file system. Questo in realtà non è particolarmente difficile, basti pensare ai diritti che hanno i vari utenti di un blog WordPress, anche senza avere l’accesso di amministratore. Basta che le credenziali di un utente siano compromesse per rendere vulnerabile l’intero sito.

Oltre a WordPress e Typo3 risulta vulnerabile anche la libreria per la generazione di file PDF TCPDF. Attualmente non sembrano esservi rimedi per gli utenti o gli amministratori dei blog, poiché i ricercatori non sono riusciti a disabilitare l’estensione Phar. Per mitigare i rischi ai blog con molti utenti è sempre consigliabile rendere gli account sicuri con password solide, variate frequentemente e con un sistema di autenticazione multi-fattore per ogni autore.

Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society, membro dell'Associazione Italiana esperti in Infrastrutture Critiche (AIIC) e della Association for the Advancement of Artificial Intelligence (AAAI). Dal 2006 lavoro per ESET, dove ricopro il ruolo di Operations Manager. Il blog è personale.