Un bug critico trovato nel plug-in WordPress ufficiale di Google con 300.000 installazioni attive potrebbe consentire agli aggressori di ottenere l’accesso del proprietario alla Google Search Console dei siti presi di mira.
Site Kit è un plug-in per WordPress progettato da Google per aiutare i proprietari di siti a ottenere informazioni dettagliate su come i loro visitatori utilizzano e trovano il loro sito web tramite statistiche ufficiali raccolte da più strumenti Google e visualizzate direttamente nella dashboard di WordPress.
Il plug-in semplifica inoltre l’impostazione e la configurazione dei principali prodotti Google come Search Console, Analytics, Tag Manager, PageSpeed Insights, Optimize e AdSense.
La vulnerabilità di Google Search Console Privilege Escalation è stata scoperta dal team di Wordfence Threat Intelligence il 21 aprile e segnalata al team di sicurezza di Google il 22 aprile.
Come dettagli di Wordfence, il bug è causato dalla divulgazione del proxySetupURL all’interno del codice sorgente HTML delle pagine di amministrazione, un URL utilizzato per collegare il plug-in Site Kit a Google Search Console tramite Google OAuth.
Ciò è stato associato a un altro problema per cui “la richiesta di verifica utilizzata per verificare la proprietà di un sito era un’azione amministrativa registrata” non prevedeva alcun controllo di capacità che consentisse a tali richieste di provenire da qualsiasi utente WordPress autenticato.
“Questi due difetti hanno permesso agli utenti di diventare proprietari di Google Search Console su qualsiasi sito interessato“, spiega Wordfence.
Cosa significa ottenere l’accesso
Una volta che un utente malintenzionato ottiene l’accesso del proprietario alla Google Search Console di un sito, potrebbe utilizzarlo a proprio vantaggio in diversi modi:
• facilitare le campagne SEO black hat manipolando le pagine dei risultati dei motori di ricerca;
• iniettare codice dannoso per la monetizzazione illecita (se associato ad altri exploit);
• rimuovere le pagine dalle pagine dei risultati dei motori di ricerca di Google (SERP);
• modificare le mappe del sito;
• visualizzare i dati sulla performance competitiva;
Fortunatamente, Google invierà automaticamente email di notifica ai proprietari di siti ogni volta che nuovi proprietari di Google Search Console vengono aggiunti a un sito dicendo che “I proprietari di proprietà possono modificare le impostazioni critiche che influiscono sul modo in cui la Ricerca Google interagisce con il tuo sito o la tua app“.
Nel caso in cui l’avviso e-mail possa essere arrivato nella cartella spam del tuo account e-mail, Wordfence fornisce istruzioni dettagliate su come verificare l’integrità della proprietà di Google Search Console per verificare se un estraneo è stato aggiunto da un utente malintenzionato e rimuoverlo.
Come ulteriore precauzione, puoi anche ripristinare la connessione del tuo WordPress Site Kit in modo da dover riconnettere tutti i servizi Google precedentemente collegati.