La scoperta di Duo Security che mette in risalto una falla nel sistema a doppia autenticazione della piattaforma che permetterebbe di bypassare i controlli e violare gli account
Jon Oberheide, uno dei fondatori di Duo, ha pubblicato la settimana scorsa la notizia del problema di sicurezza che affligge alcuni utenti di WordPress che utilizzano il plugin di Duo per l’autenticazione a due fattori. Negli ultimi giorni è stato specificato che il bug interessa solo gli utenti “multisite”, ovvero coloro che possiedono un network di siti, tutti installati con un singolo setup.
Cosa succede
In questo caso, quando un iscritto ha settato la doppia autenticazione per l’account, vedrà comparire la richiesta di inserire le credenziali (username e password) e le informazioni sulla seconda validazione. Il problema è che se c’è un altro sito, sullo stesso network multisite, un utente dal primo può andare sul secondo e veder comparire solo la richieste delle prime credenziali e non del secondo fattore di accesso.
A quel punto può accedere e switchare sul primo sito, entrando dopo aver bypassato la doppia autenticazione. Visto che diversi utenti dello stesso network potrebbero aver condiviso al loro interno le credenziali di accesso primarie (ma non lo step successivo), in questo modo chiunque potrebbe accedere ad ogni sito della rete creata, anche un maleintenzionato che fosse in possesso delle informazioni di base. Niente paura: Duo Security sta lavorando al fix.
