I plugin di WordPress sono spesso bersagli di hacker a causa delle loro vulnerabilità che consentono di infiltrarsi nei siti senza autorizzazione. Una volta trovate queste falle, i cybercriminali possono inserire script corrotti per compromettere il sistema, ottenere dati sensibili e condurre altre attività dannose.
WP Automatic Updates: la vulnerabilità del plugin
Cybersecurity researchers at WPScan hanno recentemente scoperto che hacker stanno sfruttando attivamente la vulnerabilità del plugin WP Automatic Updates, identificata come “CVE-2024-27956”. Questa vulnerabilità permette agli hacker di bypassare l’autenticazione, creare account amministratori, caricare file malevoli e potenzialmente compromettere siti web attraverso un’iniezione SQL scoperta di recente.
La vulnerabilità è dovuta a una gestione dell’autenticazione utente scorretta, che consente l’iniezione di query SQL dannose. Il 13 marzo, PatchStack ha reso pubblica la vulnerabilità, registrando oltre 5,5 milioni di tentativi di attacco, con un picco il 31 marzo. Questa falla di sicurezza è molto pericolosa in quanto può portare a un controllo completo del sito.
Come funziona l’attacco
Gli hacker sfruttano l’iniezione SQL (SQLi) iniettando query SQL dannose che creano account amministrativi, caricano web shell e backdoor, e rinominano il file del plugin che stanno sfruttando per un uso continuo. Successivamente, installano plugin che consentono ulteriori modifiche al codice e upload di file, mentre nascondono le loro tracce.
Come mitigare il rischio
Per ridurre il rischio di compromissione, è importante seguire le seguenti raccomandazioni:
- Aggiornare il plugin WP-Automatic all’ultima versione per patchare eventuali vulnerabilità note e garantire la sicurezza.
- Eseguire regolarmente audit degli account utente di WordPress per rimuovere utenti amministrativi non autorizzati o sospetti, riducendo il rischio di accessi non autorizzati.
- Utilizzare strumenti di monitoraggio della sicurezza robusti, come Jetpack Scan, per rilevare e rispondere rapidamente all’attività malevola.
- Mantenere backups aggiornati dei dati del sito web. Ciò consente un ripristino rapido in caso di compromissione, minimizzando il tempo di inattività e la perdita di dati.
Indicatori di compromissione (IoCs)
- Utente amministratore con nome che inizia con “xtw”.
- Il file vulnerabile “/wp-content/plugins/wp-automatic/inc/csv.php” rinominato in qualcosa come “/wp-content/plugins/wp-automatic/inc/csv65f82ab408b3.php”.
- I seguenti file SHA1 hash sono stati trovati nel filesystem del tuo sito web:
- b0ca85463fe805ffdf809206771719dc571eb052 web.php
- 8e83c42ffd3c5a88b2b2853ff931164ebce1c0f3 index.php
La vulnerabilità del plugin WP Automatic Updates è una minaccia seria per la sicurezza dei siti web WordPress. Tuttavia, seguendo le best practice e adottando misure di sicurezza appropriate, puoi ridurre il rischio di compromissione e proteggere il tuo sito web.
Fonte: https://cybersecuritynews.com/hackers-wp-automatic-vulnerability/
