Joomla, Drupal e Wordpress sotto scacco

Le vacanze a cavallo tra il 2009 ed il 2010 sono state funeste per tre tra i maggiori CMS in circolazione: tre differenti exploit zero-day, infatti, sono stati segnalati per Joomla, Drupal e WordPress. Spiega Webnews: «Gli exploit permettono di realizzare un Denial of Service (DOS) saturando la cache delle piattaforme, consentendo a un singolo attaccante di mettere un sito in ginocchio in pochi minuti&raqo;.

Ma il blog si è spinto anche oltre, giungendo ad intervistare l’autore degli exploit segnalati: Emanuele Gentili, «main developer di BackTrack, una tra le più apprezzate distribuzioni Linux security oriented, nonché parte integrante del security team di Joomla».

Nell’intervista Gentili ha spiegato la natura degli exploit sviluppati: «Il concetto insito nella tecnica di attacco utilizzata è espandibile alla maggior parte dei CMS presenti sul mercato, proprietari e non, come ad esempio Zen Cart (noto e-commerce), Invision Powerboard e via discorrendo. La tecnica consiste nello sfruttare il meccanismo di cache dei vari CMS, al fine di colmare il limite previsto di archiviazione tramite la generazione di richieste con argomenti pseudorandomici o comunque differenti tra di loro. Colmando il limite di archiviazione previsto, il sito Web non riuscirà più a servire richieste di qualsiasi tipo e genere, risultando così non disponibile».

Rispondendo alle domande di Matteo Campofiorito, Gentili ha inoltre espresso il proprio giudizio circa la pericolosità intrinseca degli exploit e la possibilità per cui i tre CMS possano essere corretti in tempi brevi. Il team WordPress, infatti, avrebbe minimizzato il tutto girando altrove le responsabilità. Secondo Emanuele Gentili, invece, «Il pericolo reale […] esiste. Un malintenzionato impiegherebbe meno di due minuti per mettere down il sito Internet di una qualsiasi azienda, partito politico, organismo governativo o militare o società quotate in borsa senza disporre di grande quantità di banda e senza necessità di dover articolare il proprio attacco in modo distribuito. […] Relativamente a Joomla ci stiamo già lavorando e a breve sicuramente riusciremo a produrre un buon upgrade da mettere a disposizione del pubblico. Per quanto riguarda WordPress e Drupal, mi auguro che sapranno rendersi conto della problematica e riportare il lavoro fatto dal team di Joomla per risolvere la problematica riscontrata».

Il consiglio di Gentili è quello di evitare interventi improvvisati sui CMS: gli update sviluppati dai responsabili delle diverse piattaforme saranno la via più sicura verso una soluzione lineare, pulita e definitiva.