CercaEsegui ricerca
Web Design e UXD
Un vasto attacco mira a conquistare 1,6 milioni di siti WordPress

Un vasto attacco mira a conquistare 1,6 milioni di siti WordPress

3 aprile 2023Un vasto attacco mira a conquistare 1,6 milioni di siti WordPress

Gli aggressori stanno prendendo di mira le vulnerabilità della sicurezza in quattro plugin più temi Epsilon, per assegnare a se stessi account amministrativi.

Fonte Threatpost 

È in corso un attacco attivo contro oltre 1,6 milioni di siti WordPress, con i ricercatori che hanno individuato decine di milioni di tentativi di sfruttare quattro diversi plugin e diversi temi di Epsilon Framework.

L'obiettivo, hanno affermato, è l'acquisizione completa del sito utilizzando i privilegi amministrativi.

L'ambito della campagna è notevole: l'attività proviene da oltre 16.000 indirizzi IP diversi, secondo un'analisi di Wordfence. Ci sono stati 13,7 milioni di attacchi nelle prime 36 ore.

Plugin problematici

I ricercatori hanno affermato che gli aggressori mirano a sfruttare "vulnerabilità di aggiornamento delle opzioni arbitrarie non autenticate" nei seguenti plug-in: Kiwi Social Share (patchato nel 2018) e WordPress Automatic, Pinterest Automatic e PublishPress Capabilities (tutti corretti quest'anno).

"Nella maggior parte dei casi, gli aggressori stanno aggiornando l'opzione 'users_can_register' su abilitata e impostando l'opzione 'default_role' su 'amministratore'", hanno osservato i ricercatori di Wordfence in un'analisi di giovedì. "Ciò consente agli aggressori di registrarsi su qualsiasi sito come amministratore, rilevando efficacemente il sito".

L'attività è iniziata sul serio l'8 dicembre, secondo Wordfence, probabilmente a causa del fatto che gli aggressori si sono interessati a bug di aggiornamento delle opzioni arbitrarie in generale dopo la patch del plugin PublishPress Capabilities il 6 dicembre.

Alcuni di questi sono stati sfruttati in precedenza. Il Ninja Technologies Network, ad esempio, ha segnalato un picco di attività specificamente contro il bug Kiwi Social Share nel 2018, a partire dal 6 dicembre, poco dopo la patch.

"Il plug-in WordPress Kiwi Social Sharing <2.0.11 è attualmente sfruttato dal 6 dicembre", ha dichiarato l'azienda in un breve avviso in quel momento. "Consente agli aggressori di modificare la tabella wp_options di WordPress per creare account amministratore o, ad esempio, reindirizzare il blog a un altro sito Web."

Le versioni interessate sono le seguenti:

  • Kiwi Social Plugin <= 2.0.10 – Aggiunge funzionalità per consentire ai visitatori del sito di condividere contenuti sui social media. 10.000+ installazioni.
  • Funzionalità di PublishPress  <= 2.3  – Consente agli amministratori di personalizzare le autorizzazioni per i ruoli utente di WordPress, da amministratori ed editori ad autori, collaboratori, abbonati e ruoli personalizzati. 100.000+ installazioni.
  • Pinterest Automatic <= 4.14.3 – Blocca automaticamente le immagini dai post su Pinterest.com. 7.400+ vendite.
  • WordPress Automatic <= 3.53.2 – Importa automaticamente i contenuti su WordPress. 28.000+ vendite.

Epsilon epico

Gli aggressori stanno anche prendendo di mira una vulnerabilità di iniezione di funzioni presente in vari temi di Epsilon Framework, hanno affermato i ricercatori, che consente l'esecuzione di codice remoto (RCE). I temi Epsilon consentono ai costruttori di siti di scegliere diversi elementi di design flessibili per creare l'aspetto e l'organizzazione di un sito web.

I temi interessati (installati collettivamente su oltre 150.000 siti) sono:

Activello  <=1.4.0
Affluent  <1.1.0
Allegiant <=1.2.2
Antreas <=1.0.2
Bonkers <=1.0.4
Brilliance <=1.2.7
Illdy <=2.1.4
MedZone Lite <=1.2.4
NatureMag Lite – nessuna patch, gli utenti dovrebbero disinstallare
NewsMag <=2.4.1
Newspaper X <=1.3.1
Pixova Lite <=2.0.5
Regina Lite <=2.0.4
Shapely <=1.2.7
Transcend <=1.1.8

Questi stessi temi sono stati in precedenza ancorati ad attacchi su larga scala. Nel novembre 2020, Wordfence ha osservato un'operazione che ha preso di mira questo elenco con "attacchi di sondaggio", volti a verificare se i siti non erano privi di patch e vulnerabili. Ciò ha comportato 7,5 milioni di attacchi contro oltre 1,5 milioni di siti Web, provenienti da oltre 18.000 indirizzi IP.

Questa volta, gli aggressori stanno tentando di aggiornare nuovamente le opzioni arbitrarie per assumere il controllo di un sito creando un account amministratore, hanno affermato i ricercatori.

È ora di rattoppare

"A causa della gravità di queste vulnerabilità e della massiccia campagna che le prende di mira, è incredibilmente importante garantire che il tuo sito sia protetto dai compromessi", secondo Wordfence. "Consigliamo vivamente di garantire che tutti i siti che eseguono uno di questi plug-in o temi siano stati aggiornati alla versione con patch... Il semplice aggiornamento dei plug-in e dei temi assicurerà che il tuo sito rimanga al sicuro da eventuali compromessi contro eventuali exploit che prendono di mira queste vulnerabilità".

Per determinare se un sito Web è stato compromesso, gli amministratori possono rivedere gli account utente sul sito per determinare se ce ne sono non autorizzati, consigliano i ricercatori.

"Se il sito esegue una versione vulnerabile di uno dei quattro plug-in o di vari temi ed è presente un account utente non autorizzato, è probabile che il sito sia stato compromesso tramite uno di questi plug-in", hanno spiegato. "Rimuovi immediatamente tutti gli account utente rilevati."

Gli amministratori dovrebbero anche andare alla pagina http://examplesite[.]com/wp-admin/options-general.php e dovrebbero assicurarsi che l'impostazione "Membership" e "New User Default Role" siano entrambi impostati correttamente, disse.

Con WordPress che alimenta oltre il 30% dei siti Web a livello globale (455 milioni di siti in totale), la piattaforma e i plug-in di terze parti continueranno a essere un obiettivo attraente per i cyberattaccanti, soprattutto perché i bug dei plug-in non sono rari. Ad esempio, a ottobre i ricercatori hanno scoperto una vulnerabilità ad alta gravità nel plug-in Hashthemes Demo Importer che consente agli abbonati di cancellare i siti dai contenuti.

Fonte Threatpost 

Stampa

2014 Img Internet srl,  via Moretto da Brescia 22 - 20133 Milano tel +39 02 700251 - fax +39 02 7002540
Privacy e Cookie Policy