bug-in-wordpress-plugin-can-let-hackers-5e4bf475ab8a310001fbc023-1-feb-20-2020-14-13-43-poster.jpg

Un gruppo di hacker ha tentato di dirottare quasi un milione di siti WordPress negli ultimi sette giorni, secondo un avviso di sicurezza emesso oggi dalla società di sicurezza informatica Wordfence.

La società dice che dal 28 aprile, questo particolare gruppo di hacker si è impegnato in una campagna di hacking di proporzioni enormi che ha causato un 30x uptick nel volume di traffico di attacco Wordfence è stato il monitoraggio.

“Mentre i nostri record mostrano che questo attore di minacce potrebbe aver inviato un volume minore di attacchi in passato, è solo negli ultimi giorni che sono davvero aumentati”, ha detto Ram Gall, ingegnere QA di Wordfence.

Gall dice che il gruppo ha lanciato attacchi da più di 24.000 indirizzi IP distinti e ha tentato di entrare in più di 900.000 siti WordPress.

Gli attacchi hanno raggiunto il picco domenica 3 maggio, quando il gruppo ha lanciato più di 20 milioni di tentativi di sfruttamento contro mezzo milione di domini.

Gall dice che il gruppo principalmente sfruttato cross-site scripting (XSS) vulnerabilità per piantare codice JavaScript dannoso sui siti web, per reindirizzare il traffico in entrata a siti dannosi.

Il codice dannoso ha anche scansionato i visitatori in arrivo per gli amministratori registrati e quindi ha tentato di automatizzare la creazione di account backdoor tramite gli utenti amministratori ignari.

Wordfence dice che gli hacker hanno utilizzato un ampio spettro di vulnerabilità per i loro attacchi. Le diverse tecniche osservate nell’ultima settimana sono dettagliate di seguito:

  1. Una vulnerabilità XSS nel plugin Easy2Map, che è stata rimossa dal repository dei plugin WordPress nell’agosto di 2019. Wordfence dice che i tentativi di sfruttamento per questa vulnerabilità hanno rappresentato più della metà degli attacchi, nonostante il plugin sia installato su meno di 3.000 siti WordPress.
  2. Una vulnerabilità XSS in Blog Designer che è stata patchata in 2019. Wordfence dice che questo plugin è usato approssimativamente da 1.000 e che questa vulnerabilità era anche l’obiettivo di altre campagne.
  3. Una vulnerabilità di aggiornamento delle opzioni nella conformità al GDPR di WP patchata alla fine del 2018 che consentirebbe agli aggressori di modificare l’URL home del sito oltre ad altre opzioni. Anche se questo plugin ha più di 100.000 installazioni, Wordfence stima che non più di 5.000 installazioni vulnerabili rimangono.
  4. Una vulnerabilità di aggiornamento delle opzioni nelle donazioni totali che consentirebbe agli aggressori di modificare l’URL di casa del sito. Questo plugin è stato rimosso definitivamente dal Marketplace di Envato all’inizio del 2019, ma Wordfence afferma che rimangono meno di 1.000 installazioni totali.
  5. Una vulnerabilità XSS nel tema del giornale che è stato patchato nel 2016. Questa vulnerabilità è stata presa di mira anche in passato.

Tuttavia, Wordfence avverte anche che l’attore delle minacce è abbastanza sofisticato da sviluppare nuovi exploit ed è probabile che si rivolga ad altre vulnerabilità in futuro.

Si consiglia ai proprietari di siti Web WordPress di aggiornare i temi e i plugin che hanno installato sui loro siti e, facoltativamente, installare un plugin WAF (Website Application firewall) per bloccare gli attacchi, se potrebbero essere mirati.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.