Plugin web di terze parti: perché possono essere pericolosi?

Kaspersky Lab mette in guardia contro i possibili pericoli derivanti dai plugin web di terze parti tra vulnerabilità e hacker pronti a sfruttare ogni minima occasione.

plugin web

Gli store online, i portali di informazioni e altri tipi di risorse spesso si basano su piattaforme che forniscono agli sviluppatori una serie di tool pronti all’uso. Le funzionalità sono spesso offerte mediante plugin e gli utenti possono aggiungere quelli di cui hanno bisogno e quando è necessario. Da un lato è un sistema comodo per gli sviluppatori, che non devono faticare troppo ogni qualvolta abbiano bisogno di un tool o di una funzionalità in particolare. Dall’altro, però, quanti più plugin di terze parti si trovano sul sito, maggiore è il rischio che qualcosa vada storto.

Il problema dei plugin

Il plugin è un piccolo modulo software che aggiunge o migliora le funzionalità di un sito. Ci sono plugin che offrono widget per i social network, per raccogliere dati statistici, creare questionari o altri tipi di contenuti, solo per fare qualche esempio.

Se collegate un plugin al motore del vostro sito, si avvia automaticamente e verrete interpellati solo se c’è qualche problema di operatività (ovvero se qualcuno nota l’errore). Ed è qui che risiede il pericolo di questi moduli: se chi ha creato il plugin lo abbandona al suo destino o lo vende a un altro sviluppatore, non ve ne renderete neanche conto.

Plugin vulnerabili

Kaspersky Lab fa notare come i plugin che non vengono aggiornati da anni potrebbero contenere vulnerabilità non risolte che possono essere sfruttate dai cybercriminali per prendere il controllo di un sito o per caricarvi un keylogger, un miner di criptomonete o qualunque cosa vogliano. Anche quando gli aggiornamenti sono disponibili, i proprietari del sito spesso non ci fanno caso e i moduli vulnerabili rimangono attivi anche quando non viene più offerta assistenza che li riguardi.

A volte chi crea i plugin risolve le vulnerabilità, ma per una qualsiasi ragione le patch non vengono installate automaticamente. Ad esempio, in alcuni casi gli autori del modulo semplicemente si dimenticano di cambiare il numero della versione dell’aggiornamento. Di conseguenza, i clienti che si affidano all’aggiornamento automatico e non si preoccupano di verificare la presenza di aggiornamenti, si ritrovano con dei plugin datati.

Sostituzione dei plugin

Alcune piattaforme di gestione dei contenuti di un sito bloccano il download dei moduli per i quali non si offre più assistenza. Tuttavia, lo sviluppatore o la piattaforma non possono eliminare i plugin vulnerabili dai siti degli utenti perché potrebbe provocare l’interruzione del servizio o qualcosa di peggio.

Inoltre, i plugin abbandonati possono anche non trovarsi sulla piattaforma ma su servizi disponibili per tutti. Se il suo creatore interrompe l’assistenza o elimina un modulo, il sito continua ad accedere al container in cui si trovava. I cybercriminali possono appropriarsi o clonare facilmente il container abbandonato e obbligare a scaricare il malware al posto del plugin.

È esattamente quanto accaduto con il tweet counter New Share Counts, ospitato sul servizio su cloud Amazon S3. Quando il servizio del plugin è stato interrotto, lo sviluppatore ha pubblicato un messaggio sul suo sito per mettere tutti al corrente, ma oltre 800 clienti non lo hanno letto. Passato un po’ di tempo, chi ha scritto il plugin ha chiuso il container su Amazon S3 e i cybercriminali ne hanno approfittato, creando uno storage con lo stesso nome e inserendovi uno script dannoso. I siti che continuavano ad utilizzare il plugin hanno iniziato a caricare il nuovo codice che, invece di reindirizzare al tweet counter, portava gli utenti a una risorsa di phishing che prometteva un premio a cambio di partecipare a un sondaggio.

Cambia il proprietario e gli utenti non lo sanno

Invece di abbandonare le proprie creazioni, a volte gli sviluppatori le vendono senza fare una grande selezione dei possibili acquirenti. Ciò vuol dire che un cybercriminale può facilmente acquistare un modulo e, in tal caso, il prossimo aggiornamento potrebbe servire per inviare un malware al vostro sito.È molto difficile identificare questi plugin: spesso è solo questione di fortuna.

Tenete sempre sotto controllo i plugin sul vostro sito

Come ha sottolineato Kaspersky Lab, esistono vari modi per infettare un sito attraverso i plugin installati e la piattaforma di hosting non sempre può provvedere a tutto. Per questo motivo, vi consigliamo di monitorare voi stessi il livello di sicurezza dei plugin presenti sul vostro sito:

  • Stilate un elenco dei plugin utilizzati sulle vostre risorse e raccogliete le informazioni sui loro storage. Verificate e aggiornate regolarmente questa lista
  • Leggete le notificazioni inviate dagli sviluppatori dei software di terze parti che utilizzate e dei siti attraverso i quali si distribuiscono questi software
  • Mantenete sempre aggiornati i plugin. Se il servizio offerto dal plugin viene interrotto, sostitute il plugin il prima possibile
  • Se per una qualche ragione non avete più bisogno di uno dei siti della vostra azienda e non ve ne occuperete più, non dimenticate di eliminare tutti i suoi contenuti, plugin compresi. Altrimenti, è solo questione di tempo prima che salti fuori qualche vulnerabilità e i cybercriminali se ne approfittino per colpire la vostra azienda
  • Formate adeguatamente il personale che lavora con siti di pubblico accesso, affinché sappiano gestire adeguatamente le minacce informatiche moderne