Se il vostro wordpress utilizza attualmente Timthumb nei giorni in cui una pesante vulnerabilità è stata rilevata su di esso, questa notizia dovrebbe interessarvi.
Come riportato nel blog di Sucuri, tra gli altri, si tratta di una debolezza 0-day che riguarda la funzionalità di thumbshot che permette, sotto certe condizioni, un attacco di questo tipo (dove abc.com è il vostro sito WP hosted):
http://abc.com/wp-content/plugins/pluginX/timthumb.php?webshot=1&src=http://abc.com/$(rm$IFS/tmp/a.txt)
http://abc.com/wp-content/plugins/pluginX/timthumb.php??webshot=1&src=http://abc.com/$(touch$IFS/tmp/a.txt)
L’esempio mostra come sia possibile eseguire mediante un semplice browser un comando shell come rm (remove file), o crearne uno mediante touch. L’esecuzione di codice da remoto, di fatto, offre infinite possibilità all’attaccante, neanche limitate da questi, seppur significativi già di loro, esempio.
Ma allora siamo tutti in pericolo?
In linea di massima no, e questo dovrebbe tranquillizzarci abbastanza, visto che l’opzione webshot di TimThumb è disabilitata di default: i blog in WP a rischio sono meno di quelli che potremmo temere, quindi. Per effettuare un check sicuro della presenza di TimThumb, sucuri suggerisce di cercare nel file di timthumb (in un plugin o un tema che lo supporta) ed assicurarsi che sia presente la seguente riga:
define (‘WEBSHOT_ENABLED’, false);
Se per caso trovassimo:
define (‘WEBSHOT_ENABLED’, true);
basta sostituirlo con l’istruzione precedente (settando a false, quindi) per avere cosଠmesso “La sicura” alla nostra installazione di WordPress, quantomeno sotto questo punto di vista. In alternativa, è possibile impostare un firewall dall’esterno per proteggersi, ma in questo caso è responsabilità dell’hosting o del gestore del vostro VPS o dedicato farlo.
👇 Da non perdere 👇
- 📈 Analizza Cellulari 📱
- 🔐 AI che dolor, Chat
- 🎯 Targetizza Database SQL 🗄
- 📊 Analizza Errori più comuni 📛
- 🚧 Costruisci Evergreen 📟
- 👩💻 Programma Gratis 🎉
- 💻 Configura Hosting a confronto 💑
- 🔒 Conosci Hosting reti e domini 💻
- 👩💻 Tapioca Informatica 🖥
- 💻 Iconizza Internet 💻
- 🔒 Gestisci Lavoro 🔧
- 💡 Mostra Marketing & SEO 🌪
- 🔑 Apprendi Meteo ⛅
- 🤯 Visiona Mondo Apple 🍎
- 🔍 Supervisiona Mondo Domini 🌐
- 🚀 Metti in cloud monitoraggio servizi online 📈
- 🔮 Anatomizza Nuove tecnologie 🖥
- 🔒 Antani PEC e firma digitale 📩
- 👀 Prematura Programmare 🖥
- 🎮 Lonfa Scrivere 🖋
- 🔒 Conosci Servizi di SMS 📶
- 👀 Guarda Sicurezza informatica e privacy digitale 🖥
- 🎮 Ricorda Siti web 🌎
- 🤖 Ottimizza Spiegoni 🎓
- 🧠 Neuralizza Svago 🎈
- 📡 Quantizza Usare Excel 🌀
- 🤖 Sovrascrivi Windows 😲
- 🎨 Personalizza Wireless 🚁
- 🔑 Decifra WordPress 🤵
- 💬 Il nostro canale Telegram: iscriviti
- 🟢 ERR_EMPTY_RESPONSE: come risolverlo e da cosa dipende
- 🟡 Come disabilitare AMP su un sito
- 🔴 ERR_EMPTY_RESPONSE: come risolverlo e da cosa dipende