Plugin AIOS di WordPress utilizzato da 1 milione di siti con password registrate in chiaro.

È stato scoperto che il plug-in di sicurezza WordPress All-In-One Security (AIOS), utilizzato da oltre un milione di siti WordPress, registrava password in chiaro dai tentativi di accesso degli utenti al database del sito, mettendo a rischio la sicurezza dell'account.

AIOS è una soluzione all-in-one sviluppata da Updraft, che offre firewall per applicazioni Web, protezione dei contenuti e strumenti di sicurezza dell'accesso per i siti WordPress, promettendo di fermare i bot e prevenire attacchi di forza bruta.

Circa tre settimane fa, un utente ha segnalato che il plug-in AIOS v5.1.9 non solo registrava i tentativi di accesso degli utenti alla tabella del database aiowps_audit_log, utilizzata per tenere traccia di accessi, disconnessioni ed eventi di accesso non riusciti, ma registrava anche la password inserita.

L'utente ha espresso preoccupazione per il fatto che questa attività viola diversi standard di conformità della sicurezza, tra cui NIST 800-63 3, ISO 27000 e GDPR.

Tuttavia, l'agente di supporto di Updraft ha risposto affermando che si trattava di un "bug noto" e fornendo una vaga promessa sulla disponibilità di una correzione nella prossima versione.

Dopo aver realizzato la criticità del problema, il supporto ha offerto build di sviluppo della prossima versione agli utenti interessati due settimane fa. Tuttavia, coloro che hanno tentato di installare le build di sviluppo hanno segnalato problemi con il sito Web e che i registri delle password non sono stati rimossi.

"La versione 5.2.0 di AIOS e gli aggiornamenti più recenti hanno corretto un bug nella 5.1.9 che comportava l'aggiunta delle password degli utenti al database di WordPress in testo semplice", si legge nell'annuncio di rilascio.

"Questo sarebbe un problema se gli amministratori [dannosi] del sito dovessero provare quelle password su altri servizi in cui i tuoi utenti potrebbero aver utilizzato la stessa password."

Se i dettagli di accesso delle persone esposte non sono protetti dall'autenticazione a due fattori su queste altre piattaforme, gli amministratori non autorizzati potrebbero facilmente impossessarsi dei loro account.

A parte lo scenario di amministrazione dannoso, i siti Web che utilizzano AIOS dovrebbero affrontare un rischio elevato di violazioni degli hacker, poiché un malintenzionato che ottiene l'accesso al database del sito potrebbe esfiltrare le password degli utenti in forma di testo normale.

Al momento in cui scriviamo, le statistiche di WordPress.org mostrano che circa un quarto degli utenti AIOS ha applicato l'aggiornamento alla 5.2.0, quindi più di 750.000 siti rimangono vulnerabili.

Sfortunatamente, con WordPress un obiettivo comune per gli attori delle minacce, c'è la possibilità che alcuni dei siti che utilizzano AIOS siano già stati compromessi e, considerando che il problema è circolato online da tre settimane, gli hacker hanno avuto molte opportunità di approfittare di la risposta lenta del creatore del plugin.

Inoltre, è un peccato che in nessun momento durante il periodo di esposizione Updraft abbia avvertito i propri utenti dell'elevato rischio di esposizione, consigliandoli sulle azioni da intraprendere.