Cinque fornitori di hosting web soffrivano di gravi vulnerabilità

Il noto ricercatore Paulos Yibelo ha pubblicato uno studio che dimostra come alcuni tra i più noti registrar ovvero gestori di nomi a dominio a livello internazionale e fornitori di servizi web siano vulnerabili a varie tipologie di attacchi in grado di mettere a rischio i siti web e i progetti dei clienti di ciascun provider.

Nel report elaborato e pubblicato da WebsitePlanet si fanno i nomi di “pezzi da novanta” come BlueHost, DreamHost, HostGator, OVH e iPage.
OVH è il quarto provider di servizi di web hosting in Italia con il 5% delle quote di mercato; nel nostro Paese BlueHost e HostGator vantano insieme il 7% della “torta”. Per non parlare di quanto i cinque provider sono utilizzati a livello internazionale e negli Stati Uniti in particolare.

Yibelo spiega di aver individuato vulnerabilità nelle piattaforme di gestione offerte dai vari provider web, lacune di sicurezza che non soltanto possono esporre dati personali degli utenti ma anche consentire la modifica dei contenuti altrui da parte di criminali informatici.

Quello aperto da Yibelo è un vero e proprio “vaso di Pandora”: il ricercatore, ad esempio, spiega che BlueHost soffriva di una serie di funzionalità CORS (cross-origin-resource-sharing). Un aggressore poteva presentarsi con un header modificato e ottenere il “lasciapassare” per accedere a informazioni personali relative ai singoli clienti. Facendo leva su questo espediente, un criminale informatico poteva arrivare ad interagire con le piattaforme WordPress, Mojo, SiteLock e con varie applicazioni con supporto OAuth facenti capo ad altri utenti.
Non solo. Creando un apposito link e inviandolo a un utente BlueHost era possibile guadagnare l’accesso all’account altrui con tutte le conseguenze del caso.

In ambito locale (o da una WiFi pubblica o aperta), un malintenzionato poteva leggere il traffico generato dagli utenti BlueHost e leggerlo in chiaro nonostante l’utilizzo del protocollo HTTPS. Ciò avveniva in forza di un errore di configurazione lato server da parte dei tecnici di BlueHost che consentiva di veicolare le richieste e le conseguenti risposte in chiaro.

Infine, sempre riguardo BlueHost, Yibelo ha individuato la presenza di una falla che poteva essere sfruttata per sferrare un attacco XSS (cross-site scripting). Creando una pagina “ad hoc” e persuadendo la vittima a visitarla, l’aggressore poteva disporre comandi su BlueHost impersonificando l’inconsapevole cliente.

Un problema molto simile riguardava anche DreamHost: ponendo in atto un attacco XSS, un aggressore poteva modificare l’indirizzo email impostato sul pannello di amministrazione del noto provider web o alterare la password corrispondente.

Quanto a HostGator e OVH, i provider utilizzano tecniche anti-CSRF (cross-site request forgery) ovvero meccanismi per controllare se la richiesta sia stata inviata intenzionalmente: purtroppo, però, alterando le richieste POST o i dati JSON inviati alla piattaforma di HostGator e OVH un malintenzionato poteva – anche in questo caso – aggiungere, modificare o rimuovere qualunque impostazione nel profilo della vittima.

I vari provider hanno fatto presente di aver posto in essere una serie di interventi per correggere le vulnerabilità segnalate. WebsitePlanet non esclude che problematiche simili interessino anche altri provider a livello mondiale, in special modo aziende di web hosting che non dispongono delle stesse risorse economiche per provvedere a una rapida correzione delle lacune di sicurezza.