Una vulnerabilità critica nel popolare plugin per WordPress fa tremare i suoi utenti.

  1. Jetpack e la sua vulnerabilità
  2. Scoperta della vulnerabilità critica in Jetpack
  3. Implicazioni della vulnerabilità: attacchi possibili
  4. Il rilascio della patch correttiva
  5. Best practices contro la vulnerabilità di Jetpack
jetpack wordpress vulnerability

WordPress è senza dubbio una delle piattaforme per la gestione di contenuti online più apprezzate.

La sua popolarità è dovuta alla sua relativa facilità d’uso e compatibilità con gli standard del web odierno.
A ciò si aggiunge un vasto repertorio di plugin, che permettono agli utenti di personalizzare al massimo le loro esperienze d’uso. Il tutto senza richiedere competenze avanzate di programmazione e web development. Tuttavia, la diffusione capillare può essere in molti casi un’arma a doppio taglio, in quanto aumentano anche i rischi associati al mancato controllo di determinanti componenti. Questo è ciò che si è venuto a creare con Jetpack, uno dei plugin divenuti essenziali per la gestione della sicurezza dei siti web su WordPress.

Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.

Jetpack e la sua vulnerabilità

Introdotto con la versione 3.9.9. di WordPress nel 2016, Jetpack è una vera e propria suite di funzionalità mirate alla sicurezza e alle prestazioni del sito web. Sviluppato da un team interno di Automattic, la stessa software house che ha dato vita a WordPress, questo componente offre agli utenti diverse funzionalità automatizzate per:

Ciò lo rende un must have per ogni progetto basato su WordPress, in quanto è dotato di una notevole versatilità e flessibilità in termini di offerta utente.
Ma come spesso accade, quando qualcosa è molto popolare tra gli utenti, può anche divenire un bersaglio molto appetibile da parte degli attori malevoli.

Scoperta della vulnerabilità critica in Jetpack

Il componente è finito nel mirino di n gruppo di attaccanti a seguito della scoperta di una vulnerabilità software rimasta dormiente per almeno otto anni.
La vulnerabilità è stata scoperta anche dal team di sicurezza Wordfence, divulgata in data 14 ottobre 2024 e le è stato assegnato un punteggio di 9.8/10 sulla scala CVSS (Common Vulnerability Scoring System), venendo classificata come critica. Grazie ad essa, Jetpack può trasformarsi in un veicolo di attacco non indifferente, in virtù della sua logica di autenticazione poco adeguata agli standard odierni.

Endpoint API vulnerabili: post, user e setting

Sempre attraverso le analisi e le scoperte di Wordfence è emerso che Jetpack non verifica con accuratezza i privilegi utenti, consentendo così anche agli utenti non autenticati di accedere agli endpoint critici. Le funzioni considerate a rischio, sono tutte a livello API, nello specifico si tratta di:

  • posts: permette la creazione, la lettura, l’aggiornamento e la cancellazione di post sulla propria piattaforma WordPress. L’attore malevolo che la sfrutta, può alterare a proprio piacimento i contenuti della piattaforma, potendo così reindirizzare gli utenti verso siti web dannosi, o installare sui sistemi esterni potenziale software malevolo.
  • users: consente l’accesso e la modifica delle informazioni sugli utenti. Con la vulnerabilità presente, l’attaccante può sfruttarla per visualizzare i dati sensibili degli utenti registrati, oppure effettuare una privilege escalation.
  • settings: Permette l’accesso e la modifica delle impostazioni del sito. La sua vulnerabilità permette a un attaccante di modificare impostazioni critiche senza autorizzazione.

Implicazioni della vulnerabilità: attacchi possibili

Le conseguenze derivanti da questa vulnerabilità sono molto importanti. Se sfruttate a dovere, un attore malevolo può compiere tutta una serie di attacchi su ogni sito, o piattaforma basata su WordPress che impiega Jetpack. Tra gli impatti più significativi derivanti dalla vulnerabilità, si indicano:

  • ACE (Arbitrary Code Execution)
    mediante la vulnerabilità API post, è possibile iniettare codice malevolo direttamente nel sistema, finendo inevitabilmente per compromettere l’integrità stessa del sito web, o della piattaforma creata con gli strumenti di WordPress. In tal modo, l’attaccante può infettare altri sistemi con malware creati ad hoc, installare hijacker o sniffer, sino a trasformare potenzialmente l’intero sito web in una botnet adatta a sferrare attacchi DDoS.
  • Privilege escalation
    sfruttando le vulnerabilità settings e users, gli attaccanti possono eseguire un’escalation dei privilegi, divenendo così gli amministratori stessi della piattaforma. In questo modo possono accedere indisturbati ai dati sensibili degli utenti registrati, esfiltrarli e riutilizzarli per commettere frodi a loro nome, con tutte le implicazioni di natura legale che ne conseguono. Potrebbero anche sfruttarli per mettere in atto delle sofisticate tecniche di ingegneria sociale e attirare ulteriori prede nella loro rete.
  • Tattiche di estorsione e iniezione ransomware
    nel momento stesso in cui la piattaforma o il sito web sono compromessi, un attore malevolo potrebbe anche giocare la carta più pesante del suo mazzo. Questa si traduce nell’iniezione diretta di un ransomware, con la conseguente messa in atto della doppia estorsione contro il proprietario. Chiave di decriptazione in cambio di un riscatto in denaro, con la conseguente minaccia di rivendita dei dati sensibili estratti, o compromissione definitiva del suo sito.

Il rilascio della patch correttiva

Nella giornata del 15 ottobre 2024, lo sviluppatore Jeremy Herve, mediante il blog di Jetpack ha reso noto il rilascio della versione 13.9.1 del modulo.
Questa è stata una release tempestiva, che si è resa necessaria per correggere il prima possibile la vulnerabilità emersa nello stesso. Nel lungo post Herve ha spiegato che lui e la sua squadra hanno lavorato a stretto contatto con il team di WordPress in seno a Automattic, in modo da agevolare il più possibile il lavoro e verificare che la correzione funzionasse come auspicato.

Lo sviluppatore ci ha tenuto a precisare di aver scoperto la vulnerabilità e di aver sviluppato la strategia solutiva, a seguito di un security audit condotto internamente. Grazie a questo la patch correttiva è stata resa compatibile con 101 versioni differenti di Jetpack, ciascuna delle quali è stata aggiornata automaticamente a seguito del commit effettuato sul loro server. In più è stato reso noto che, alla data del post di Herve, non è stato rilevato alcuno sfruttamento della vulnerabilità emersa.

Ciò ha fatto tirare più di un sospiro di sollievo agli utenti di WordPress.

Best practices contro la vulnerabilità di Jetpack

Da come si può evincere, il livello di criticità rilevato nel componente non è assolutamente da sottovalutare. Al fine di proteggere sé stessi, i propri utenti e anche la propria piattaforma basata su WordPress, si devono adottare una serie di contromisure ben strutturate, che vanno dalla risoluzione immediata alla prevenzione a lungo termine. Di seguito, sono riportati alcuni consigli e best practices che gli amministratori dei siti WordPress dovrebbero adottare.

  • Installare immediatamente la patch correttiva di Jetpack.
    La prima azione critica è l’aggiornamento del plugin Jetpack all’ultima versione disponibile. È imperativo verificare che l’aggiornamento sia stato correttamente applicato su tutte le istanze del sito. Considerato che Jetpack è ampiamente distribuito, anche siti inattivi, o poco monitorati potrebbero risultare vulnerabili.
  • Adottare una rigida politica sugli accessi.
    Solo gli utenti essenziali dovrebbero avere accesso alle funzioni di amministrazione del sito. Questo include la creazione di politiche RBAC (Controllo di accesso basato su ruolo) per limitare i privilegi degli utenti, impedendo che possano accedere a funzioni che non sono necessarie per il loro ruolo specifico. Strumenti di gestione e verifica degli accessi, come l’autenticazione a due fattori (2FA), devono essere implementati per aumentare il livello di sicurezza.
  • Monitoraggio delle API e dell’attività utente.
    Poiché la vulnerabilità sfrutta endpoint API non adeguatamente protetti, è essenziale implementare sistemi di monitoraggio attivo per le richieste API. Un plugin come Sucuri potrebbe aiutare in questo caso, dato che permette di tenere traccia delle attività insolite e delle richieste non autorizzate, il ché facilita non poco le operazioni agli aministratori di sistema.
  • Effettuare periodicamente controlli di integrità dei file e backup.
    Strumenti come WPScan, o i sistemi di controllo dell’integrità integrati nei plugin di sicurezza di WordPress, possono individuare file modificati o compromessi. In parallelo, è cruciale disporre di un sistema di backup automatizzato, aggiornato e sicuro.
  • Blocco preventivo degli endpoint sensibili.
    Impiegando un WAF (Web Application Firewall), si possono bloccare preventivamente le chiamate API agli endpoint coinvolti nella vulnerabilità: posts, users e settings. In tal modo si riduce il rischio che attori malevoli sfruttino eventuali nuove vulnerabilità, o configurazioni errate, anche dopo l’applicazione della patch correttiva.

In conclusione

Sebbene la vulnerabilità di Jetpack sia stata prontamente risolta dagli sviluppatori, l’incidente dimostra ancora una volta quanto sia cruciale mantenere un livello di attenzione costante sulla sicurezza delle piattaforme digitali. Nel panorama attuale, sempre più complesso e pericoloso, la miglior difesa contro le minacce informatiche resta la nostra vigilanza. Le tecnologie ci forniscono strumenti avanzati, ma senza la nostra consapevolezza e il nostro impegno, diventano inefficaci.

La sicurezza informatica è, e continuerà ad essere, una responsabilità collettiva. Sta a noi farne un principio costante, non solo una reazione agli incidenti.


    Dichiaro di aver letto e compreso l'Informativa sul trattamento dei dati