WordPress Duplicator: individuata vulnerabilità su Duplicator e Duplicator Pro

Aggiornato recentemente a Aprile 3rd, 2023 alle 06:25 pm

WordPress Duplicator

Ripropongo un articolo che ho scritto un po di tempo fa sulla sicurezza informatica di WordPress risalente a un evento del 20 Febbraio 2020. Prima di leggere questo articolo (la cui falla di sicurezza e’ stata risolta dagli sviluppatori) ti consiglio:

• di usare plugin che hanno aggiornamenti frequenti. Quelli con aggiornamenti settimanali o mensili sono da preferire,
• aggiornare sempre i plugin e il tema in uso,
• non tenere installati molti temi. Usate il tema che usate (insieme al suo tema child) e il tema di base dato da WordPress,
• cambiate regolarmente le chiavi di cifratura presenti nel filw wp-config-php,
• non consentite l’accesso a il file wp-config.php agli utenti esterni,
• non consentite l’accesso al file .htacess.

In pochi giorni WordPress ha una nuova vulnerabilità oltre a quella del plugin del tema ThemeGrill. Anche questa volta la falla di sicurezza è generata da plugin Sto parlando del plugin Duplicator (fino alla versione 1.3.26) e Duplicator Pro (fino alla versione 3.8.7). È stata trovata dai ricercatori di cyber security di WordFence. Se non conosci WordFence è meglio che lo installi subito sul tuo WordPres. È un plugin per la sicurezza informatica che tutti devono avere. Risolto il problema potresti anche essere interessato a migliorare il posizionamento su Google del tuo sito web.

Se un individuo malevolo sfruttasse questa falla di sistema permetterebbe il download dei file presenti nel sito senza necessita di autenticarsi. Infatti, lo scopo principale di Duplicator, come riprende il CERT-PA, aiuta gli amministratori di siti web su piattaforma WordPress a migrare e copiare siti di questo CMS. Gran parte di questo processo permette l?esportazione di ogni contenuto presente nel database; e tutti i file in archivi portatili.

Ogni qual volta che viene creata una copia del sito web, questo plugin permette di scaricare i file generati dalla dashboard. La duplicazione è messa in pratica grazie a una richiesta AJAX nell’interfaccia d’amministrazione. In questo modo i pulsanti di download attivano una chiamata al gestore AJAX di WordPress. Tramite l?azione duplicator_download ed un parametro del file. Tale parametro indica la posizione del file da scaricare. Ed esso è scaricato che l?utente sia obbligato a uscire o ricaricare la pagina corrente. Questo quello che dicono gli esperti di WordFence:

La falla se sfruttata, può consentire ad un?utente malevolo di appropriarsi alle credenziali di accesso del database del sito web. Ed scaricare ogni file senza autentificarsi.

Gli esperti di cyber security, sottolineano che purtroppo il modo di operare di duplicator_download è stata registrata tramite wp_ajax_nopriv_ ed è accessibile agli utenti non autenticati e senza nessun tipo di restrizione.

Per di più, un utente malintenzionato può raggiungere i file in diverse directory inviando valori come ..//..//../file.php. Il parametro del file viene successivamente passato attraverso sanitize_text_filed. Ed infine, aggiunto alla costante del plugin WordPress.

L’uso di questo bug consente di recuperare le credenziali del database del sito di destinazione. In modo successivo, ogni utente malintenzionato potrebbe in modo parziale accedere al database grazie a queste credenziali.

È consigliabile aggiornare tutti. Soprattutto se sono installata plugin che sono attivi su circa 1 milione di siti web. E gli hacker sono già presenti in rete con la soluzione per rubare i tuo dati, in modo semplice e immediato.