Non è un mistero che il Blog di Beppe Grillo sia gestito da un Content management system di nome Movable Type, il quale compare nei messaggi di errore tipo quelli per il cambio della password come possiamo vedere qui sotto:
Provare per credere, potete sempre andare nella pagina di errore http://www.beppegrillo.it/cgi-bin/mt-add-subscription.cgi.
Il file mt-check.cgi da rimuovere
Un malintenzionato andrebbe a controllare il tipo di CMS utilizzato per studiarne le vulnerabilità. Non solo, leggendo la documentazione potrebbe trovare un file utile per effettuare un check dell’installazione:
Viewing the mt-check.cgi script is the easiest way to check the details of the server environment to determine if the prerequisites libraries/modules are present such that Movable Type can be installed.
Se cerchiamo con Google “beppegrillo.it mt-check.cgi” troviamo il file relativo:
A questo punto il malintenzionato potrebbe scoprire anche la versione di Movable Type e cercare informazioni utili altrove sulle falle di sicurezza soprattutto se si tratta di una versione antiquata e non aggiornata. Questo è quanto spiega anche il sito Tenable.com in merito alla sicurezza del CMS:
The Movable Type installation on the remote web server is leaking information via mt-check.cgi. This CGI determines if the Perl modules required by Movable Type are installed, and is only intended to be used prior to installation. It discloses path information, operating system type, Perl version, and the versions of several Perl modules. A remote attacker could use this information to mount further attacks.
Primo passo, quindi, è rimuovere questo file.
Le password in chiaro e il loro recupero
Dopo aver cambiato la mia password ho provato a richiederla per verificare i sistemi di recupero e la relativa sicurezza. Sorge già un problema, perché la password viene inviata in chiaro via email:
La documentazione online di Movable Type riporta un altro sistema di recupero, sinceramente più efficace in termini di sicurezza, inviando un link all’utente con il quale accedere al sito in una pagina utile a impostare una nuova password:
Nella documentazione relativa al recupero password è ben specificato che questa tecnica di recupero è prevista da una determinata versione del CMS in avanti, ciò ci fa comprendere che l’attuale presente su Beppegrillo.it è precedente:
With the new Password Recovery flow in Movable Type 4.24 and above, users can reset their MT password by simply verifying their email address.
Sarebbe meglio porre rimedio, passando ad una versione superiore e più aggiornata del CMS e senza diffondere via email le password degli utenti in chiaro. Oppure cambiare CMS, ma potrebbe comportare un costo in termini di server per via delle prestazioni.
Ovviamente tutto ciò dovrebbe avvenire una volta colmata la mancanza del protocollo di sicurezza HTTPS.
Valuterò se continuare ad aggiornare questo articolo con ulteriori suggerimenti. Nel frattempo questi già necessitano di tanto lavoro.
