Ben 1,6 milioni di siti WordPress sono stati presi di mira da una campagna di attacco attiva su larga scala proveniente da 16.000 indirizzi IP sfruttando i punti deboli di quattro plugin e 15 temi Epsilon Framework.
La società di sicurezza di WordPress Wordfence, che ha rivelato i dettagli degli attacchi, ha dichiarato di aver rilevato e bloccato più di 13,7 milioni di attacchi mirati sia a plugin che temi in un periodo di 36 ore, con l’obiettivo di impadronirsi dei siti web e compiere azioni dannose.
I plugin in questione
- Kiwi Social Share (<= 2.0.10),
- WordPress Automatic (<= 3.53.2)
- Pinterest Automatic (<= 4.14.3)
- PublishPress Capabilities (<= 2.3)
alcuni dei quali sono stati patchati a novembre 2018.
I temi WordPress interessati
I temi di Epsilon Framework e le loro versioni corrispondenti sono i seguenti:
- Attivollo (<=1.4.1)
- Benestanti (<1.1.0)
- Alleato (<=1.2.5)
- Antrea (<=1.0.6)
- Pazzi (<=1.0.5)
- Brillantezza (<=1.2.9)
- Malato (<=2.1.6)
- MedZone Lite (<=1.2.5)
- NatureMag Lite (nessuna patch nota disponibile)
- NewsMag (<=2.4.1)
- Giornale X (<=1.3.1)
- Pixova Lite (<=2.0,6)
- Regina Lite (<=2.0.5)
- Formosa (<=1.2.8)
- Trascendere (<=1.1.9)
Come funziona l’attacco
La maggior parte degli attacchi osservati da Wordfence coinvolgono l’antagonista che aggiorna l’opzione “users_can_register” (ovvero chiunque può registrarsi) su “abilitata” e imposta l’impostazione da “default_role” (ovvero il ruolo predefinito degli utenti che si registrano sul sito web) al ruolo di “amministratore”, quindi consentire a un avversario di registrarsi sui siti vulnerabili con ruolo di amministratore e prenderne il controllo.
Inoltre, si dice che le intrusioni siano aumentate solo dopo l’8 dicembre, indicando che “la vulnerabilità patchata di recente nelle funzionalità di PublishPress potrebbe aver indotto gli aggressori a prendere di mira varie vulnerabilità dell’aggiornamento delle opzioni arbitrarie come parte di una massiccia campagna“, ha affermato Chloe Chamberland di Wordfence.
Alla luce dello sfruttamento di questa vulnerabilità, si consiglia ai proprietari di siti WordPress che utilizzano uno dei suddetti plug-in o temi di applicare le correzioni più recenti per mitigare la minaccia.
Interessato a una consulenza in materia di sicurezza informatica?