I siti WordPress che utilizzano Ninja Forms, un plugin per la creazione di moduli con oltre 1 milione di installazioni, sono stati aggiornati in massa a metà giugno con una nuova build che risolve una vulnerabilità di sicurezza critica.
Questa vulnerabilità di iniezione di codice interessa più versioni di Ninja Forms, a partire dalla versione 3.0 e successive.
Gli analisti delle minacce hanno scoperto durante il reverse engineering della patch che gli aggressori non autenticati possono sfruttare questo bug da remoto per violare vari moduli Ninja usando un difetto nella funzione “Unisci tag”.
Questo sfruttamento consente agli aggressori di controllare completamente i siti WordPress senza patch tramite diverse catene di sfruttamento, una delle quali consente l’esecuzione di codice in remoto tramite la deserializzazione per assumere il controllo del sito Web di destinazione.
Ciò potrebbe consentire agli aggressori di eseguire codici o eliminare file arbitrariamente su siti in cui era presente una POP separata.
Sebbene non ci sia stato un annuncio ufficiale, i siti Web più vulnerabili sembrano essere già stati aggiornati forzatamente in base al numero di download da quando questo difetto è stato corretto il 14 giugno.
Secondo le statistiche sui download di Ninja Forms, l’aggiornamento di sicurezza è stato implementato oltre 730.000 volte da quando è stata rilasciata la patch.
Se il plugin non è stato ancora aggiornato automaticamente alla versione patchata, si può anche applicare manualmente l’aggiornamento di sicurezza dalla dashboard (l’ultima versione protetta contro gli attacchi è la 3.6.11 ).
Gli analisti di Wordfence hanno anche trovato prove che indicano che questa falla di sicurezza è già sfruttata negli attacchi in corso.
Aggiornamenti forzati utilizzati per correggere bug critici
Automattic, la società dietro il sistema di gestione dei contenuti di WordPress, utilizzava aggiornamenti forzati per correggere rapidamente i difetti di sicurezza critici utilizzati da centinaia di migliaia o milioni di siti.
Nell’ottobre 2020 Automattic aveva utilizzato aggiornamenti di sicurezza forzati per inviare “rilasci di sicurezza per plugin molte volte” da quando è stato rilasciato WordPress 3.7.
Queste patch forzate vengono utilizzate indipendentemente dalle impostazioni dei loro amministratori in “casi molto rari ed eccezionalmente gravi”.
Ad esempio, nel 2019, Jetpack ha ricevuto un aggiornamento di sicurezza critico che risolveva un bug nel modo in cui il plugin elaborava il codice integrato.
Altri aggiornamenti di sicurezza forzati hanno risolto un problema riscontrato durante un audit interno del blocco del modulo di contatto Jetpack nel dicembre 2018, un bug critico nel modo in cui alcuni codici brevi Jetpack venivano elaborati nel maggio 2016 e un problema di logica di autenticazione nel giugno 2021.
Più recentemente, nel febbraio 2022, 3 milioni di siti Web che utilizzavano il plugin UpdraftPlus per WordPress sono stati sottoposti a patch forzata per chiudere una vulnerabilità che consente agli abbonati di scaricare i backup del database.
