Vulnerabilità critiche nei plugin di WordPress sfruttate allo stato brado

I bug in WordPress potrebbero consentire agli hacker di ottenere i diritti di amministratore e ripulire i dati da siti Web vulnerabili

Il bug in WordPress consente agli aggressori remoti sui sitiÈ possibile creare e utilizzare nuovi account con diritti amministrativi per l'acquisizione completa del sito web. Gli hacker hanno sfruttato attivamente i bug critici nei plug-in di WordPress che hanno permesso loro di controllare completamente il contenuto dei siti Web e persino di eliminarli. È stata scoperta una vulnerabilità zero-day nel plugin WordPress di ThemeREX Addons.[1] Il difetto, se sfruttato, consente agli aggressori di creare account con privilegi amministrativi, in modo che i siti Web possano essere presi in consegna.

Il particolare plug-in è installato su almeno 44.000 siti Web, secondo la società di sicurezza di Wordfence, quindi quei siti sono tutti vulnerabili.[2] Il plug-in fornisce 466 temi e modelli WordPress commerciali in vendita, in modo che i clienti possano configurare e gestire i temi più facilmente.

Il plug-in funziona configurando un endpoint API REST di WordPress, ma senza verificare se i comandi inviati a questa API REST provengono dal proprietario del sito o da un utente autorizzato o meno. Questo è il modo in cui il codice remoto può essere eseguito da qualsiasi visitatore non autenticato.

[3]

Un altro bug che coinvolge i temi di WordPress è stato trovato nei plugin di ThemeGrill che vende temi di siti Web a più di 200.000 siti. Il difetto consentiva agli aggressori di inviare il particolare payload a quei siti vulnerabili e attivare le funzioni desiderate dopo aver ottenuto i diritti di amministratore.[4]

Lo schema dei temi WordPress trojanizzati che hanno portato a server compromessi

Secondo l'analisi, tali difetti hanno permesso di compromettere almeno 20.000 server web in tutto il mondo. Probabilmente ha portato a installazioni di malware, esposizione di annunci dannosi. Più di un quinto di questi server appartiene ad aziende di medie dimensioni che hanno meno fondi da realizzare più siti Web personalizzati, a differenza delle aziende più grandi, quindi tali incidenti di sicurezza sono anche più significativi in danno.

L'utilizzo di un CMS così diffuso potrebbe essere iniziato nel 2017. Gli hacker possono raggiungere i loro obiettivi e compromettere inconsapevolmente vari siti Web a causa della mancanza di consapevolezza della sicurezza da parte delle vittime. Oltre ai plug-in vulnerabili menzionati e ad altri difetti, sono stati scoperti 30 siti Web che offrono temi e plug-in WordPress.[5]

Sono stati installati pacchetti trojan e gli utenti diffondono file dannosi senza nemmeno sapere che tale comportamento consente agli aggressori di ottenere il pieno controllo del server web. Da lì, è facile aggiungere account amministratore, ripristinare i server Web e persino ottenere l'accesso alle risorse aziendali.

Inoltre, il malware incluso in tali attacchi può:

  • comunicare con server C&C di proprietà degli hacker;
  • scaricare file dal server;
  • aggiungere cookie per raccogliere vari dati sui visitatori;
  • raccogliere informazioni sulla macchina interessata.

Inoltre, i criminali coinvolti in tali schemi possono utilizzare parole chiave, pubblicità dannosa e altre tecniche:

In numerosi casi, gli annunci pubblicitari erano del tutto innocui e indirizzavano l'utente finale a un servizio o sito Web legittimo. In altri casi, tuttavia, abbiamo osservato annunci pop-up che invitavano l'utente a scaricare programmi potenzialmente indesiderati.

WordPress è il CMS più popolare al mondo

I rapporti recenti mostrano che l'utilizzo di un CMS non è più facoltativo e in aumento. Soprattutto per le aziende aziendali e le applicazioni headless che controllano i contenuti separati dal livello di visualizzazione iniziale o dall'esperienza utente front-end.[6] La ricerca mostra che rispetto ad altri sistemi di gestione dei contenuti, l'utilizzo di WordPress è aumentato.

Inoltre, le aziende traggono chiaramente vantaggio dall'utilizzo di più di un CMS contemporaneamente, quindi questa pratica diventa sempre più popolare. Ciò è eccezionalmente utile quando si tratta di tali problemi con vulnerabilità e bug o problemi diversi relativi ai servizi, alla privacy e alla sicurezza del tuo sito Web e dei dati sensibili.

Possibili passaggi

I ricercatori consigliano alle organizzazioni e agli amministratori di:

  • evitare di utilizzare software piratato;
  • abilitare e aggiornare Windows Defender o diverse soluzioni AV;
  • evita di riutilizzare le password tra gli account;
  • aggiorna regolarmente il sistema operativo
  • fare affidamento su patch disponibili per alcune di queste vulnerabilità e aggiornamenti per particolari plug-in.