Nei giorni scorsi sono stati pubblicati tre exploit 0day che vanno a colpire tre dei CMS open source più noti e utilizzati: Joomla, WordPress e Drupal. Gli exploit permettono di realizzare un Denial of Service (DOS) saturando la cache delle piattaforme, consentendo a un singolo attaccante di mettere un sito in ginocchio in pochi minuti.
Tutti e tre gli exploit sono stati realizzati da una sola persona: Emanuele Gentili, main developer di BackTrack, una tra le più apprezzate distribuzioni Linux security oriented, nonché parte integrante del security team di Joomla. Visto il potenziale impatto degli exploit, ne abbiamo approfittato per rivolgere qualche domanda a Emanuele Gentili, per cercare di capire meglio la gravità delle vulnerabilità evidenziate:
Negli ultimi giorni hai pubblicato tre exploit 0day che vanno a colpire i tre principali CMS in circolazione: WordPress, Joomla, Drupal. Ci puoi dare qualche informazione in più sul funzionamento degli exploit?
Il concetto insito nella tecnica di attacco utilizzata è espandibile alla maggior parte dei CMS presenti sul mercato, proprietari e non, come ad esempio Zen Cart (noto e-commerce), Invision Powerboard e via discorrendo.La tecnica consiste nello sfruttare il meccanismo di cache dei vari CMS, al fine di colmare il limite previsto di archiviazione tramite la generazione di richieste con argomenti pseudorandomici o comunque differenti tra di loro.
Colmando il limite di archiviazione previsto, il sito Web non riuscirà più a servire richieste di qualsiasi tipo e genere, risultando così non disponibile.
In questo specifico attacco, la cosa interessante è che possono essere fatti sia attacchi “slow” che attacchi “fast”, dipendentemente dalla presenza di Intrusion Prevention System, firewall e altre protezioni che potrebbero in qualche modo riconoscere e bloccare l’attacco.
Ovviamente ogni sistema ha il suo meccanismo e tempi previsti per il caching cleaning, quindi bisogna tener presente anche questo fattore.
Alcuni team, come quello di WordPress, tendono a minimizzare la cosa. Tu cosa pensi, c’è un pericolo reale per gli utenti?
Il pericolo reale a mio modo di vedere esiste. Un malintenzionato impiegherebbe meno di due minuti per mettere down il sito Internet di una qualsiasi azienda, partito politico, organismo governativo o militare o società quotate in borsa senza disporre di grande quantità di banda e senza necessità di dover articolare il proprio attacco in modo distribuito.Per quanto riguarda il team di sviluppo di WordPress, ho avuto modo di confrontarmi in modo diretto con loro, ma hanno ritenuto, secondo me in modo errato, di rimandare il problema agli ISP che andranno poi a gestire il loro CMS, consigliando una “firewall strong configuration”.
Secondo te Joomla, WordPress e Drupal rilasceranno a breve delle patch correttive?
Relativamente a Joomla ci stiamo già lavorando e a breve sicuramente riusciremo a produrre un buon upgrade da mettere a disposizione del pubblico. Per quanto riguarda WordPress e Drupal, mi auguro che sapranno rendersi conto della problematica e riportare il lavoro fatto dal team di Joomla per risolvere la problematica riscontrata.
Esistono dei workaround per minimizzare l’impatto degli exploit sulle tre
piattaforme?
Scrivere buone regole di prevenzione sul proprio firewall è sicuramente un ottimo workaround generale per minimizzare l’impatto, ma in generale consiglio di aspettare gli aggiornamenti upstream senza appesantire o sporcare il codice main con pseudo soluzioni che si trovano online, evitando così di importare bug magari molto più pericolosi di quello in oggetto.