Una grave vulnerabilità riguardante WordPress sta mettendo a rischio 6 milioni di siti Internet, con serie conseguenze per gli utenti.
Sono 6 milioni i siti Internet che rischiano di cadere vittima degli aggressori che, approfittando di una falla di sistema, sono in grado di accedere ai cookie degli utenti, rubando la loro identità. Ad essere stato preso di mira è il plugin di WordPress più utilizzato, ossia LiteSpeed Cache, il quale è tornato al centro dell’attenzione per via di una nuova problematica relativa alla sicurezza.
Il programma, solamente negli scorsi giorni, aveva presentato una criticità sfruttata dagli aggressori per godere dei privilegi amministrativi su qualsiasi sito WordPress che non fosse stato adeguatamente aggiornato. Da allora, gli sviluppatori di LiteSpeed Cache hanno lavorato alla sua versione 6.5.0.1, rilasciata in seguito agli attacchi remoti.
Tuttavia ciò non è bastato a garantire la sicurezza di WordPress e, ora, milioni di siti sono in pericolo a causa di un’altra vulnerabilità. A puntare i riflettori sulla falla ci ha pensato il ricercatore di Patchstack Rafie Muhammad, che ha riscontrato un problema riguardante una funzione di debug del plugin. Questa, nel momento in cui viene attivata, salva le risposte pervenute a titolo di header HTTP in un file.
WordPress, in che modo i dati degli utenti rischiano di essere violati: emerge una nuova falla
La vulnerabilità è stata identificata come CVE-2024-44000 e si basa sul fatto che il data logging usato a scopo di debug registra quanto riportato nell’header noto come set-cookie (utilizzato per l’impostazione di un cookie) proprio come nel caso dell’autenticazione su WordPress. Gli aggressori, per poter accedere alle informazioni degli utenti, devono entrare nel file di registro delle funzioni di debug.
Qualora non dovessero riscontrare limitazioni, basta selezionare il giusto URL per avere accesso al file di log. Grazie all’invio di un’apposita richiesta a WordPress, avranno poi modo di appropriarsi dei cookie di sessione di altri user, effettuando l’autentificazione e impossessandosi della loro identità. Il consiglio, per coloro che si appoggiano a LiteSpeed Cache, è eliminare i file debug.log che potrebbero trovarsi sul server. In tal modo, non resteranno cookie di sessione valida utilizzabili dagli aggressori.
Per sopperire alla falla, gli sviluppatori hanno realizzato una cartella riservata in cui è stato trasferito il file di log (/wp-content/litespeed/debug/), con una randomizzazione dei nomi dei file di registro. Inoltre, hanno provveduto alla cancellazione delle funzionalità per il log dei cookie e introdotto un file “index” per una maggiore sicurezza.
