WordPress, scoperta grave falla nel plugin WP-Slimstat

Il plugin WordPress WP-Slimstat può essere adottato per carpire importanti informazioni come username e password di utenti/amministratori

WordPress è uno dei CMS (content management system) più apprezzati e diffusi, non sorprende quindi che sia uno degli obiettivi preferiti degli hacker e malintenzionati di turno. Il vasto archivio di plugin messo a disposizione dal sito WordPress.com è il punto di partenza ideale per l’individuazione di nuove vulnerabilità da sfruttare a loro vantaggio.

L’ultima falla che riteniamo sia giusto segnalare, perchè riguardante una popolare estensione scaricata circa 1 milione e 300 mila volte, è quella che affligge le versioni precedenti alla 3.9.6 del plugin WP-Slimstat, popolare “tool analytics” che fornisce utili informazioni ai gestori di un sito, dalla panoramica del traffico in entrata fino al log delle attività utenti e non solo.

La falla è stata scoperta da un ricercatore dell’ormai “familiare” Sucuri, azienda che opera nel campo della sicurezza informatica: come forse ricorderete erano sempre stati collaboratori o ricercatori Sucuri ad individuare altre vulnerabilità non trascurabili nei plugin “FancyBox” e “Slider Revolution Responsive”.

Nel caso di WP-Slimstat il problema risiede nella “debole” chiave di cifratura adoperata dal plugin (relativa al timestamp dell’installazione). Quest’ultima può essere “indovinata” molto rapidamente da un esperto  (circa 10 minuti per 30 milioni di combinazioni da testare) attraverso un classico “brute force attack” – metodo che appoggiandosi ad un algoritmo cerca di inserire tutte le combinazioni possibili per trovare eventualmente quella giusta.

A questo punto il sito può essere soggetto ad SQL Injection, modalità con la quale il malintenzionato potrà entrare in possesso delle informazioni più importanti presenti nel database: username, password, chivi di cifratura adoperate per la gestione del sito da remoto etc.

Secondo alcune stime, i siti che non avrebbero ancora provveduto al “consigliato” aggiornamento del plugin avrebbero superato quota 100.000.