Un popolare plugin anti-malware per WordPress ha una vulnerabilità cross-site scripting reflected. Questo è un tipo di vulnerabilità che può consentire a un utente malintenzionato di compromettere un utente di livello amministratore del sito web interessato.
Plugin WordPress interessato
Il plugin scoperto contenere la vulnerabilità è Anti-Malware Security and Brute-Force Firewall, che è utilizzato da oltre 200.000 siti web.
Anti-Malware Security and Brute-Force Firewall è un plugin che difende un sito web come un firewall (per bloccare le minacce in entrata) e come uno scanner di sicurezza, per controllare le minacce alla sicurezza sotto forma di backdoor hack e iniezioni di database.
Una versione premium difende i siti web contro gli attacchi di forza bruta che cercano di indovinare password e nomi utente e protegge dagli attacchi DDoS.
Vulnerabilità di Cross-Site Scripting reflected
Questo plugin è stato trovato per contenere una vulnerabilità che ha permesso ad un attaccante di lanciare un attacco Cross-Site Scripting reflected (XSS reflected).
Una vulnerabilità cross-site scripting reflected in questo contesto è quella in cui un sito WordPress non limita correttamente ciò che può essere inserito nel sito.
Questo fallimento nel limitare ciò che viene caricato è essenzialmente come lasciare la porta principale del sito web aperta e consentire praticamente qualsiasi cosa da caricare.
Un hacker approfitta di questa vulnerabilità caricando uno script e facendo in modo che il sito web lo rifletta.
Quando qualcuno con permessi di livello amministratore visita un URL compromesso creato dall’attaccante, lo script viene attivato con i permessi di livello amministratore memorizzati nel browser della vittima.
Il rapporto di WPScan sulla sicurezza anti-malware e Firewall Brute-Force ha descritto la vulnerabilità:
“Il plugin non sanifica ed esegue l’escape del QUERY_STRING prima di restituirlo in una pagina di amministrazione, portando ad un Cross-Site Scripting riflesso nei browser che non codificano i caratteri”
Il National Vulnerability Database del governo degli Stati Uniti non ha ancora assegnato a questa vulnerabilità un punteggio di livello di gravità. La vulnerabilità in questo plugin è chiamata una vulnerabilità “XSS riflessa“.
Ci sono altri tipi di vulnerabilità XSS, ma questi sono tre tipi principali:
- Vulnerabilità Cross-Site Scripting memorizzata (Stored XSS)
- Cross-Site Scripting cieco (Blind XSS)
- XSS riflesso
In una vulnerabilità XSS Stored o Blind XSS, lo script dannoso è memorizzato sul sito stesso. Questi sono generalmente considerati una minaccia più alta perché è più facile ottenere un utente di livello amministrativo per attivare lo script. Ma questi non sono quelli che sono stati scoperti nel plugin.
In un XSS riflesso, che è quello che è stato scoperto nel plugin, una persona con credenziali di livello admin deve essere indotta con l’inganno a cliccare su un link (per esempio da una e-mail) che poi riflette il payload dannoso dal sito web.
Il non-profit Open Web Application Security Project (OWASP) descrive un XSS riflesso in questo modo:
“Gli attacchi riflessi sono quelli in cui lo script iniettato viene riflesso dal server web, come in un messaggio di errore, un risultato di ricerca, o qualsiasi altra risposta che include alcuni o tutti gli input inviati al server come parte della richiesta. Gli attacchi riflessi sono consegnati alle vittime attraverso un altro percorso, come in un messaggio di posta elettronica, o su qualche altro sito web”.
Consigliato l’aggiornamento alla versione 4.20.96
Si raccomanda generalmente di avere un backup dei file di WordPress prima di aggiornare qualsiasi plugin o tema.
La versione 4.20.96 del plugin WordPress Anti-Malware Security and Brute-Force Firewall contiene una correzione per la vulnerabilità.
