venerdì 24 giugno 2011

Wordpress.org: scoperta backdoor in plugin, password reset e update


I tecnici di WordPress hanno comunicato di aver dovuto resettare tutte le password degli utenti registrati al servizio Wordpress.org in seguito al rilevamento di contaminazioni ricollegabili all'azione di un gruppo di hacker. La notifica arriva direttamente da Matt Mullenweg che ha pubblicato un post sul blog di WordPress.org. La causa di tale provvedimento risiede nella presenza di speciali backdoor all’interno di plugin molto popolari quali AddThisWPtouch e W3 Total Cache.  Il reset delle password personali degli utenti interessano l’accesso al forum, a plugin e temi (lo stesso vale per bbPress.org e BuddyPress.org). "Come utente, assicurarsi di non usare mai la stessa password per due servizi diversi, e vi incoraggiamo a non reimpostare password uguali a quello vecchia", avverte Matt Mullenweg. Al momento non sono stati resi noti molti dettagli sull'accaduto, che è ancora in fase d'investigazione. A quanto pare alcuni malintenzionati avrebbero applicato delle modifiche ai tre plugin per WordPress offerti sul sito ufficiale del progetto. Per proteggere il proprio blog da eventuali attacchi, Mullenweg consiglia a tutti gli utenti che hanno installato o aggiornato i tre plugin nelle ultime ore di verificare l’eventuale disponibilità di aggiornamenti e procedere con un ulteriore update che cancella i plug-in truffaldini. Soltanto in questo modo le modifiche compiute da terze parti sulle repository dei plugin verranno annullate. Precisiamo che l'allarme riguarda esclusivamente gli utilizzatori dei plugin coinvolti, l'applicazione in se non dovrebbe invece essere stata "bucata", i danni derivanti dalle backdoor dovrebbero comunque essere di scarsa entità dato che il problema è stato rilevato tempestivamente e circoscritto. Adam Harley, uno sviluppatore indipendente di WordPress ha pubblicato i dettagli tecnici dei tre plugin appositamente modificati. "Gli aggressori sono stati in grado di accedere agli account utente dei tre autori dei plugin su WordPress.org e hanno fatto degli aggiornamenti non autorizzati ai loro plugin, che sono stati scaricabili per circa 24 ore", scrive lo sviluppatore. Gli aggiornamenti di tutti e tre i plugin inclusa una backdoor maligna nascosta ha permesso di eseguire del codice arbitrario PHP. "Chiunque avesse effettuato gli aggiornamenti avrebbe potuto compromettere il proprio sito, ma è difficile da dire. Modificare le password e cambiare le chiavi univoche in wp-config.php dovrebbe bloccare tutte le password compromesse", spiega Harley sul sito.

Nessun commento:

Posta un commento