Articoli

Wordbrutepress

Si chiama Wordbrutepress ed è uno script in Python scritto da Claudio Vivani in grado di effettuare un attacco a dizionario verso il CMS WordPress sfruttando il multithreading. La funzione che rende particolare questo script è la possibilità di effettuare tentativi di login attraverso il protocollo XML-RPC oltre alla classica pagina di amministrazione. Inoltre il tool supporta il protocollo SSL e randomizza l’User Agent per eventuali blocchi da parte dei WaF.

Il tool è Open Source e per chi fosse interessato a provarlo lo trovo su GitHub.

Wordpress Logo

Nelle ultime due settimane abbiamo visto nella cronaca della Sicurezza Informatica il nome di WordPress per ben due volte, infatti come ha riportato Paolo sul suo blog le ultime versioni di WordPress contenevano una vulnerabilità di tipo XSS Stored (è definita stored una vulnerabilità che viene memorizzata/salvata nel filesystem o nel database della vittima, in questo caso nel database). WordPress è corsa ai ripari aggiornando la sua piattaforma di Blogging con la versione 4.2.1 ma ieri è corsa nuovamente ai riparti rilasciando la versione 4.2.2 poiché sono state trovate altre vulnerabilità XSS come ha riportato The Hacker News.

La vulnerabilità di tipo XSS Stored è stata scoperta da Jouko Pynnönen ed essendo di tipo Stored è indubbiamente la vulnerabilità di tipo XSS più pericolosa, ma non voglio soffermarmi sugli aspetti tecnici perché potete tranquillamente trovare tutti i dettagli sul blog di Jouko compreso di un ottimo video dimostrativo. Quel che mi ha stupito e vorrei condividere con voi, magari per avere un vostro parere, è la seguente dichiarazione rilasciata da Jouko:

WordPress has refused all communication attempts about our ongoing security vulnerability cases since November 2014. We have tried to reach them by email, via the national authority (CERT-FI), and via HackerOne. No answer of any kind has been received since November 20, 2014. According to our knowledge, their security response team have also refused to respond to the Finnish communications regulatory authority who has tried to coordinate resolving the issues we have reported, and to staff of HackerOne, which has tried to clarify the status our open bug tickets.

Il ricercatore avrebbe tentato di comunicare a WordPress la vulnerabilità a Novembre 2014, senza ricevere alcuna risposta Jouko ha poi chiesto al CERT e ad HackerOne di comunicare la gravità della vulnerabilità individuata ma ancora volta non è stata data nessuna risposta. Così lo scorso 26 Aprile 2015 Jouko ha deciso di rendere pubblica la vulnerabilità.

La gravità di questa vicenda è l’assenza di risposte dal Team di IT Security di WordPress per ben 6 mesi, 6 mesi!!! E sempre Paolo Perego mi fa notare che sul sito ufficiale di WP vi è riportato quanto segue:

The WordPress Security Team is made up of approximately 25 experts including lead developers and security researchers — about half are employees of Automattic (makers of WordPress.com, the earliest and largest WordPress hosting platform on the web), and a number work in the web security field. The team consults with well-known and trusted security researchers and hosting companies.

Circa 25 persone lavorano nel reparto di IT Security di WordPress, se fosse un’azienda Italiana diremmo subito che sono dei fannulloni ma è sempre meglio evitare affermazioni affrettate ma quel che è certo che è incomprensibile l’aver ignorato tale vulnerabilità e la relativa comunicazione da parte di Jouko. Capisco che non è sempre possibile individuare le vulnerabilità di un proprio progetto, anche se si è in 25, ma ignorare il lavoro svolto da una terza persone che cortesemente vi sta comunicando un’importante falla di sistema lo trovo veramente sbagliato!

Jouko avrebbe potuto rivendere la vulnerabilità in qualche Black Market vista l’insoddisfazione nel ricevere un ringraziamento ufficiale e sicuramente guadagnare un buon gruzzoletto, visto che WordPress è il primo CMS mondiale con un adozione stimata al 55%.

In sostanza, da WordPress mi aspettavo molto di più!!

wp_waf

Gianni Amato ha recentemente rilasciato la seconda versione di WP WAF, un Web Application Firewall per WordPress semplicemente installabile come plugin esterno.

La nuova release mantiene interamente le feature presenti nella precedente versione e introduce un ulteriore layer di sicurezza agendo direttamente sulle direttive del file .htaccess al fine di risolvere il noto problema del directory listing e mitigare gli attacchi ai plugin vulnerabili.

La configurazione iniziale del file .htaccess verrà salvata nella root con nome original.htaccess e ripristinata automaticamente quando il plugin verrà rimosso.

Per il momento potete installare la nuova versione scaricando il file zip da Github, nei prossimi giorni l’aggiornamento sarà disponibile anche sul repository WordPress.

Eventuali bug potete segnalarli attraverso il sito ufficiale di Gianni Amato.

WPScan_Android_01

Vi abbiamo già parlato in passato di WPScan per Android, una applicazione dedicata allo scannnig di vulnerabilità all’interno della piattaforma di blooging WordPress.

A causa di una violazione di copyright con l’omonimo progetto WPScan per Linux e una violazione di regole del Play Store l’applicazione era stata rimossa dal market, Alessio ha quindi pensato di cambiare il nome in aWPVSCAN (Android WordPress Vulnerability Scanner) e rendere disponibile l’APK dell’applicazione per permettere a tutti una rapida installazione ovviando le restrizioni del market.

Nella nuova versione sono state inoltre implementate queste nuove funzioni:

  • Aggiunto il supporto per l’enumerazione dei file backup di wp-config.php;
  • Aggiunto il supporto per l’enumerazione del nome / versione del server e della versione di php;
  • Aggiunto il supporto per l’enumerazione del file robots.txt

Potete scaricare l’applicazione tramite il sito ufficiale di Alessio, al seguente link.

WPScan_Android_01

WPScan per Android è un importante utility dedicata al Pen Testing per analizzare e cercare falle di sicurezza all’interno della piattaforma di Blogging WordPress, sviluppata da Alessio dalla Piazza e disponibile gratuitamente nel Play Store. L’intento di Alessio è quello di portare sui nostri Smartphone l’omonimo WPScan per pc e presente anche nella distribuzione di sicurezza informatica BackBox, come il progetto originale mantiene la sua origine Open Source ed è infatti possibile collaborare allo sviluppo dell’applicazione o correggere errori partendo dal codice sorgente presente su GitHub.

Attualmente WPScan supporta le seguenti features:

  • Analisi della versione di WordPress;
  • Individuazione di vulnerabilità (basandosi sulla versione di WP);
  • Enumerazione degli utenti;
  • Riconoscimento dei plugin installati (html analiycs + brute force);
  • Riconoscimento dei temi installati (html analytics + brute force);
  • Individuazione del TimThumb 0day.

Continua a leggere

Wordpress Pingback Port Scanner

I ricercatori di Acunetix hanno recentemente individuato una vulnerabilità nel sistema di Pingback della famosa piattaforma di blogging WordPress, tale vulnerabilità può essere sfruttata per sferrare attacchi DDoS.

Il Pingback è una funzione in grado di avvisare altri blog della pubblicazione di un nuovo articolo, abitualmente sfruttata per comunicare la trattazione di un medesimo argomento su due o più blog.

Il funzionamento della funzione di Pingback è molto semplice: il file “xmlrpc.php” interroga i link indicati nell’articolo appena scritto, se la richiesta va a buon fine provvede a segnalare il nostro blog a gli altri siti menzionati.

La vulnerabilità sfrutta altera la funzione di “xmlrpc.php” indicandogli di interoggare un host diverso da quello citato nell’articolo, verrà quindi effettuata una richiesta sul sito “vittima” non menzionato nell’articolo originale.

Pertanto non vi è alcun controllo sull’autenticità degli url contenuti nell’articolo, un attacco di massa potrebbe sfruttare migliali di blog Worpress per effettuare continue richieste verso il sito vittima generando un DDoS.

Bogdan Calin, ha realizzato WordPress Pingback Port Scanner uno script che vedete nell’immagine principale in grado di effettuare un Port Scanning su un sito vittima tramite un blog Worpress. Lo script scritto i Ruby è disponibile su GitHub e di seguito vedremo brevemente il suo utilizzo.

Se volessimo effettuare un port scanning sulle porte comuni basterà digitare il seguente comando:

ruby wppps.rb -t http://www.target.com http://www.myblog.com/

Tramite il parametro “-t” indichiamo il sito target e a seguito indicheremo il blog WordPress che veicolerà la scansione.

Sfruttando questo comando il sito MyBlog.com procederà ed effettuare un Port Scanning su Target.com.

Un attacco combinato generebbe sicuramente più traffico verso il target, rallentandolo o addirittura mandandolo in tilt:

ruby wppps.rb -t http://www.target.com http://www.blog1.com/ http://www.blog2.com/ http://www.blog3.com/

Questo comando permette di sfruttare Blog1, Blog2 e Blog3 contemporaneamente per veicolore un Port Scanning verso Target.com.

Infine è possibile generare un port scanning su tutte le porte [0 – 65535] utilizzando il paramentro “-a”:

ruby wppps.rb -t -a http://www.target.com http://www.myblog.com/

Per prevenire provvisoriamente la vulnerabilità, in attesa di una patch da parte del Team di WordPress, è possibile disabilitare la funzione di PingBack/TrackBack dal pannello di Amministrazione, Impostazioni, Discussione.

Via | The Hacker News

WPScan è un importante utility dedicata al Pen Testing per analizzare e cercare falle di sicurezza all’interno della piattaforma di Blogging WordPress. Recentemente ha raggiunto un corposo aggiornamento alla versione 1.1 la quale permette di analizzare le vulnerabilità di oltre 750 plugin.

Ricordiamo che sono i plugin il vettore principale per sferrare un attacco nella piattaforma Wodpress, solitamente quest’ultimi vengono aggiornati con poca frequenza e un malintenzionato può facilmente sfruttarli per accedere illecitamente ad un sito internet.

È possibile scaricare WPScan 1.1 sul sito ufficiale, mentre di seguito vi proponiamo il changelog integrale.

Continua a leggere

TimThumb è una Utility per l’auto ridimensionamento delle immagini presente in tantissimi Temi per Worpress nella quale è stata trovata una falla 0Day che consentirebbe ad un malintenzionato di caricare sul Blog qualsiasi tipo di file, compresa una webshell che permetterebbe di ottenere il pieno controllo del sito internet.

La scoperta è da attribuirsi a Mark Maunder, CEO della Seattle-based Feedjit, che ha rilasciato un comunicato ufficiale lunedì 8 Agosto 2011 spiegando che la vulnerabilità affligge circa 39 milioni di blog disponibili in internet ed è dovuto ad una errata configurazione dell’utility TimThumb.

Nello script vengono abilitati 7 importanti siti internet nel caricare file e a ridimensionare immagini remotamente, nello specifico:

$allowedSites = array (
‘flickr.com’,
‘picasa.com’,
‘blogger.com’,
‘wordpress.com’,
‘img.youtube.com’,
‘upload.wikimedia.org’,
‘photobucket.com’,
);

Ma tale funzione si basa sulla libreria PHP strpos che esegue una verifica superficiale, il dominio può apparire in qualsiasi parte dell’host. Per esempio il sito internet http://www.pirata.com/picasa.com/ ha i completi permessi di scrittura nel blog.

Il Team di TimThumb ha già corretto la vulnerabilità e nel sito internet ufficiale è già disponibile la patch: http://timthumb.googlecode.com/svn/trunk/timthumb.php

Per maggiori dettagli potete, infine, consultare il comunicato ufficiale di Mark Maunder.

WP-Sentinel è un nuovo plugin sviluppato da evilsocket in grado di assicurare una maggior sicurezza ai blog basati sulla piattaforma WordPress.

Il sistema integra numerose funzionalità che vengono caricate autonomamente all’apertura del Blog con priorità rispetto ai restanti plugin, in caso di una o più richieste dannose il sistema bloccherà preventivamente l’accesso al blog mostrando una pagina di allarme.

Automaticamente l’amministratore sarà avvisato tramite eMail dell’accaduto ed un preciso sistema di logging traccerà tutte le operazioni effettuate dal malvivente bannando eventualmente l’indirizzo IP per un periodo prestabilito.

WP-Sentinel è disponibile nella repository ufficiale di WordPress e pertanto è facilmente installabile attraverso il pannello dell’amministratore del blog, per eventuali domande di supporto invece potete contattare la sviluppatore sul suo sito ufficiale.

Trovate invece dopo il salto ulteriori screenshot del software.

Continua a leggere