WP GDPR Compliance – Siti WordPress compromessi
Le vulnerabilità segnalate di WP GDPR Compliance consentono ad aggressori non autenticati di ottenere un’escalation dei privilegi, consentendo loro di infettare ulteriormente i siti vulnerabili.
Il popolare plugin è stato inizialmente rimosso dal repository di WordPress. Successivamente è stato reinserito in concomitanza con il rilascio della versione 1.4.3, (correzione di diverse vulnerabilità).
Qualsiasi sito usi WP GDPR Compliance deve immediatamente aggiornare alla versione più recente, oppure disattivarlo e rimuoverlo qualora non sia possibile aggiornare.
WP GDPR COMPLIANCE COMPROMESSO
Nell’uso tipico, il plugin gestisce alcuni tipi di azioni che includono la creazione di richieste di accesso ai dati e richieste di cancellazione richieste dal GDPR. Includono anche funzionalità per la modifica delle impostazioni del plugin all’interno della dashboard di amministrazione di WordPress.
Le versioni sino alla 1.4.2 (inclusa) di WP GDPR Compliance non riescono a fare controlli di capacità per apportare tali modifiche alla configurazione. Se un utente malintenzionato invia opzioni e valori arbitrari a questo endpoint, questi salva/aggiorna i campi di input nella tabella delle opzioni del database del sito interessato.
Per di più, il plugin esegue chiamate tali che possono essere utilizzate dagli autori di attacchi per attivare azioni WordPress arbitrarie.
Si tratta di due vulnerabilità distinte che possono essere però considerate come una singola vulnerabilità di escalation di privilegi.
NUMEROSI SITI COMPROMESSI
Questo exploit permette di installare nuovi account di amministratore sui siti interessati.
Sfruttando questa vulnerabilità gli hacker possono accedere immediatamente a un account privilegiato. Possono dunque installare un plugin o un tema dannoso contenente una shell Web o altro malware per infettare ulteriormente il sito della vittima.
CONSIDERAZIONI FINALI
Fino al momento del rilascio della patch, più di centomila siti WordPress che utilizzavano il plugin WP GDPR Compliance erano vulnerabili a questo tipo di attacco. È di fondamentale importanza che qualsiasi sito che utilizza questo plugin esegua l’aggiornamento immediatamente.
In secondo luogo è necessario procedere ad un’analisi del sito (temi, plugin, database mysql e così via).
Per assurdo, a causa di WP GDPR Compliance i titolari dei siti colpiti dal malware dovranno comunicare al Garante la violazione del proprio sito!