L'analisi tecnica

Grave vulnerabilità in Elementor per WordPress impatta su 500mila siti: aggiornare subito

Una nuova vulnerabilità di esecuzione di codice da remoto (RCE) rilevata nel diffuso plugin Elementor espone ad attacchi cyber un grande numero di installazioni WordPress attive. Analizziamone gli impatti e le soluzioni di mitigazione

14 Apr 2022
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

È stata rilevata nel popolare plugin Elementor di WordPress un’importante vulnerabilità considerata critica che può esporre il sito ad attacchi di esecuzione di codice remoto (RCE). Per fortuna, nelle scorse ore è stato rilasciato un aggiornamento che corregge questo problema di sicurezza.

Le vulnerabilità in Elementor

Non è la prima volta che il plugin Elementor finisce sotto l’occhio attento dei ricercatori di sicurezza. A febbraio, infatti, Elementor Essential Addons veniva aggiornato per lo stesso tipo di vulnerabilità, colpendo anche in quel caso un grande numero di siti che utilizzano attivamente il plugin.

WEBINAR
18 Maggio 2022 -
Finance e cyber minacce: come proteggersi davvero e affrontare gli scenari di crisi

Stavolta è stato il turno di Elementor Website Builder, che potremo definire come il “corpo centrale” della collezione di plugin della famiglia Elementor, quello che consente appunto di aggiungere oggetti per costruire le pagine di WordPress, come fossero Widgets.

Come funziona la vulnerabilità

Il file coinvolto in questa ricerca, che ha permesso l’individuazione della vulnerabilità RCE di Elementor, è /core/app/modules/onboarding/module.php. Nello specifico, il team di ricercatori di PluginVulnerabilities che l’hanno documentata per la prima volta, hanno evidenziato la funzione upload_and_install_pro () accessibile mediante il costrutto switch di maybe_handle_ajax().

Da qui, dunque, viene permesso l’upload di file (recanti lo stesso nome file che la funzione si aspetta) come plugin per il sito: il pericolo sta nel fatto che all’interno può essere impacchettato il file malevolo capace di sfruttare l’esecuzione di codice da remoto sul server compromesso.

A peggiorare la situazione, viene documentato che per fare tutto ciò è sufficiente avere l’accesso alla piattaforma come semplice utente iscritto, senza quindi alcun ruolo superiore con poteri di amministrazione, oppure con utenti non loggati, in quanto “maybe_handle_ajax” viene invocata da “admin_init”.

Nella figura seguente mostriamo la funzione appena descritta che contiene la vulnerabilità e nell’ultima riga, il dettaglio del nome del file utile affinché il plugin appena caricato con upload, venga automaticamente attivato.

L’impatto dell’RCE sulle installazioni WordPress attive

La nuova vulnerabilità è stata identificata da una ricerca di PluginVulnerabilities, team che si occupa proprio della sicurezza collegata a WordPress. Questa è stata introdotta nel plug-in dalla versione 3.6.0, rilasciata il 22 marzo. Secondo le ultime statistiche di WordPress, il 30,7% degli utenti del plug-in utilizza ora il branch della versione 3.6.x.

Calcolando il valore assoluto su un totale di oltre 5 milioni di installazioni otteniamo che l’impatto generale di questo problema colpisce oltre 1.500.000 siti web in tutto il mondo. Considerato, infine, che solo nelle ultime 24 ore sono stati effettuati circa un milione di downloads, rimarrebbero all’appello da correggere ancora 500 mila piattaforme WordPress attive con versione vulnerabile.

Monitorando il dato delle statistiche nelle ultime ore, è facile desumere che questo venga coperto quanto prima, almeno per tutte le installazioni dalla versione 3.6.0 in su. Il numero di download giornalieri, dal momento della divulgazione della notizia è cresciuto notevolmente, probabilmente proprio a seguito del sensibile pericolo RCE diffuso.

Installiamo subito l’aggiornamento

La mitigazione di questa vulnerabilità, per quanto grave e critica sia stata considerata, è arrivata rapidamente ed è già disponibile il download dell’aggiornamento. Come abbiamo appena visto infatti, nelle ultime 24 ore gli utenti di piattaforme WordPress utilizzanti Elementor, si stanno già apprestando ad aggiornare e bisogna farlo subito.

Soprattutto per tutte le installazioni di questo plugin che finora hanno seguito l’evoluzione con tutti gli aggiornamenti fino alla 3.6.0 (appena sopra il 30% del totale), l’andamento sembra essere positivamente, quello di continuare a reagire con immediatezza alle scelte di sviluppo.

Il problema che invece deve far riflettere, anche in questo caso, è come sia possibile che ci sia oltre il 70% di installazioni attive ferme a versioni precedenti, riferite anche a salti epocali di versione, che vanno di molto indietro nel tempo. Questa grande quantità di siti web, quindi a loro volta di server esposti a Internet, che in valore assoluto ammonta alla bellezza di 3.500.000 installazioni non aggiornate, presentano un grande e pericoloso numero di vulnerabilità passate, note e sfruttabili, che mettono in estremo pericolo altrettanti sistemi.

Queste installazioni possono essere anche considerate come non importanti perché associate a siti web ormai abbandonati o casi di questa entità, ma dobbiamo ricordare che le vulnerabilità che espongono, senza che nessuno ci faccia abbastanza attenzione, possono dar luogo ad attacchi dall’impatto rilevante, se per esempio si scopre che l’installazione incriminata viene ospitata sullo stesso server che offre spazio a siti web maggiormente sensibili o importanti.

Proprio come il contagio di un virus in spazi affollati e stretti nel mondo reale, le vulnerabilità cyber diventano un pericolo per noi stessi ma anche per chi ci sta vicino. Per questo è sempre importante aggiornare un sito o un servizio esposto in Rete. Finché rimane esposto a Internet, benché non più utilizzato, è sempre da considerare un potenziale rischio e vettore di attacco.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5