Pochi giorni prima della fine di Luglio il creatore della libreria di ridimensionamento delle immagini nota con il nome di Timthumb si accorge che il suo blog è stato violato. Dopo un’investigazione più approfondita sull’accaduto Mark Maunder si rende conto che la violazione è avvenuta proprio a causa della libreria che esso stesso sviluppa. Timthumb.php è vulnerabile ad attacchi di tipo RFI (Remote file inclusion). Da Agosto ad oggi migliaia di blog WordPress sono stati compromessi a causa di questa vulnerabilità, nonostante siano stati rilasciati degli update a copertura della falla. Non tutti gli utenti in effetti sono riusciti ad intervenire aggiornando i componenti vulnerabili prima di essere colpiti dagli attacchi più disparati.

La vulnerabilità di Timthumb è contenuta all’interno della procedura di validazione dei nomi a dominio autorizzati ad includere file remoti all’interno della directory cache del plugin di turno. Nella versione originale di Timthumb ogni dominio contenuto nell’array $allowedSites ha il permesso di includere file all’interno del blog :

// external domains that are allowed to be displayed on your website
$allowedSites = array (
      ‘flickr.com’,
      ‘picasa.com’,
      ‘blogger.com’,
      ‘wordpress.com’,
      ‘img.youtube.com’,
      ‘upload.wikimedia.org’,
);

La mancata validazione dei nomi host fa si che qualsiasi sito remoto possa includere file e immagini all’interno del blog spacciandosi per picasa.com, blogger.com ecc. come dimostra la seguente lista di siti web malevoli utilizzati per gli attacchi su numerosi blog WordPress :

http://picasa.com.xpl.be

http://blogger.com.socialmediatrafficconsulting.com

http://blogger.com.dollhousedelights.com/.mods

http://blogger.com.socialmediatrafficconsulting.com

http://blogger.com.apluspocketmedia.com

http://wordpress.com.hostdail.com

http://picasa.com.thomaswdufour.com

Ad oggi l’attacco è ancora in massiccia espansione (i blog basati su WordPress sono nell’ordine dei milioni) e tutte le copie di Timthumb non aggiornate sono vulnerabili all’attacco.

Che cosa accade su un blog infetto?

Il primo campanello di allarme è l’improvvisa lentezza del blog.

Un’investigazione più accurata mostrerà inoltre la presenza di numerose connessioni verso server IRC remoti (una verifica che può essere eseguita con un’accesso shell all’account) camuffate sotto il nome di processi di sistema innocui come /usr/sbin/cron, /usr/sbin/httpd o . L’analisi dei file contenuti all’interno della root del blog rileverà molto probabilmente la presenza di numerosi file infetti, molto spesso si tratta di shell PHP o bot IRC in linguaggio Perl o PHP. La directory principalmente colpita dalle inclusioni remote è la cache del plugin  che contiene la versione vulnerabile di Timthumb. I file malevoli si nascondono ancora una volta sotto nomi innocui :

external_e91535802ef8bdbe9dc598f3e97d045b.php

external_3136d3c6e27f632ee2f52bd4f6571cdd.php

external_ffe37f6533095659017bd96829adf796.php

external_851e64f4641f6bd8f5b9975193ecbff1.php

Dopo una violazione di questo tipo per l’utente comune è generalmente buona norma adottare un ripristino totale del blog da un backup precedente all’infezione. Per i blog ospitati su server dedicati e VPS invece il nostro supporto mette a disposizione un piano di verifica specificatamente creato allo scopo. Per difendere il proprio blog dalle vulnerabilità di tipo 0day è fondamentale seguire con costanza gli update del codice ed adottare specifiche procedure di messa in sicurezza per ridurre al minimo le possibilità di infezione. Per saperne di più leggi anche “5 consigli per accrescere la sicurezza del tuo blog WordPress“.