Discussione Nuova minaccia per i siti Wordpress: vulnerabilità critiche per il plugin Orbit Fox

0xbro

Moderatore
24 Febbraio 2017
3,490
2,687
959

Nuova minaccia per i siti Wordpress: vulnerabilità critiche per il plugin Orbit Fox​

Due nuove vulnerabilità (una Stored XSS e una Privilege Escalation) sono state scoperte dagli esperti di cybersecurity di Wordfence all'interno del plugin Orbit Fox e mettono a rischio i siti Wordpress di migliaia di utenti (circa 400.000 installazioni!).​
maxresdefault.jpg

Il plugin permette agli amministratori di sistema di aggiungere e gestire varie features all'interno dei siti in cui è stato installato, come ad esempio widget, form di registrazione, analytics, ecc.
Il programma è stato sviluppato da ThemeIsle e ed è ideato per migliorare le funzionalità offerte da Elementor, Beaver Builder e Gutenberg, oltre ad implementarne di nuove.

Le vulnerabilità:​

Due vulnerabilità possono essere exploitate dagli attaccanti con lo scopo di iniettare del codice malevolo all'interno del sito e prendendone così il controllo.
Queste le parole dei ricercatori:​
One of these flaws made it possible for attackers with contributor level access or above to escalate their privileges to those of an administrator and potentially take over a WordPress site. The other flaw made it possible for attackers with contributor or author level access to inject potentially malicious JavaScript into posts.
...
These types of malicious scripts can be used to redirect visitors to malvertising sites or create new administrative users, amongst many other actions.
La vulnerabilità di privilege escalation (autenticazione richiesta) è stata classificata come Critical e ha ricevuto un punteggio CVSS pari a 9,9. Gli attaccanti autenticati con permessi di "contributor" o superiore possono aumentare i loro privilegi raggiungendo quelli di amministratore, assumendo potenzialmente il controllo dell'intero sito web.

La vulnerabilità Stored XSS (autenticazione richiesta) invece permette ad eventuali attaccanti con permessi di "contributor" o "author" di iniettare del codice JavaScript all'interno dei post del sito. Un attaccante quindi potrebbe exploitare questa falla con lo scopo di condurre diverse azioni malevole, come per esempio attacchi di malvertising. La vulnerabilità è stata classificata come Medium e ha ricevuto un CVSS di 6.4.

Ad entrambe le vulnerabilità non è ancora stato assegnato un CVE ID. I dettagli tecnici degli attacchi però possono essere consultati presso il sito di chi ha scoperto le vulnerabilità: articolo ufficiale.

Privilege Escalation - la spiegazione:​

Il plugin Orbit Fox include un widget che quando utilizzato assieme a Elementor e Beaver Builder, può creare un form di registrazione con dei campi personalizzati. Al momento della creazione del form, il plugin fornirà la possibilità di impostare un ruolo predefinito da utilizzare ogni volta che un utente si registra, opzione non mostrara se non si hanno gli adeguati permessi.
Orbit-fox-registration-1536x831.png
Lower level users like contributors, authors, and editors were not shown the option to set the default user role from the editor. However, we found that they could still modify the default user role by crafting a request with the appropriate parameter. The plugin provided client-side protection to prevent the role selector from being shown to lower level users while adding a registration form. Unfortunately, there were no server-side protections or validation to verify that an authorized user was actually setting the default user role in a request.

La richista vulnerabile:​


La mancanza di convalida lato server ha fatto sì che un utente con permessi limitati ma con accesso all'editor delle pagine/post potesse creare un modulo di registrazione e impostare il ruolo dell'utente su "amministratore". Una volta creato il form di registrazione, l'utente poteva semplicemente registrare un nuovo utente e gli sarebbero stati concessi i privilegi di amministratore anche se ancora autenticato sull'istanza di WordPress.​
To exploit this flaw, user registration would need to be enabled and the site would need to be running the Elementor or Beaver Builder plugins. A site with user registration disabled or neither of these plugins installed would not be affected by this vulnerability.

Stored XSS - la spiegazione:​

In addition to the privilege escalation vulnerability we discovered, we also found that contributors and authors could add scripts to posts despite not having the unfiltered_html capability due to the header and footer script feature in Orbit Fox.

OBFX-Header-Footer-Script-1024x477.png

Questo falla permetteva quindi agli utenti con bassi privilegi di iniettare del codice JavaScript all'interno degli header e footer dei post, codice che sarebbe stato eseguito nel browser di ogni utente ogni volta che avesse navigato sulla pagina infetta.​

Remediation:​

Le due vulnerabilità sono state risolte con il rilascio della versione 2.10.3.

Disclosure Timeline:​

*Informazioni prese direttamente dal sito dei ricercatori*
November 19, 2020 – Conclusion of the plugin analysis that led to the discovery of two vulnerabilities in the Orbit Fox by ThemeIsle plugin.
November 19, 2020 – We develop firewall rules to protect Wordfence customers and release them to Wordfence Premium users. We initiate contact with the plugin’s developer.
November 23, 2020 – The plugin’s developer confirms the inbox for handling discussion.
November 24, 2020 – We submit full disclosure.
December 8, 2020 – We follow up as we have not yet received a response from our disclosure.
December 15, 2020 – We send our final follow-up indicating that we will need to escalate the process per our disclosure guidelines if no response is received by December 18th.
December 17, 2020 – We receive a response and a patched version of the plugin is released as version 2.10.3. We verify that the vulnerabilities have been patched.
December 19, 2020 – Free Wordfence users receive firewall rule.

Maggiori informazioni:​