Così come di recente abbiamo riparlato di attacchi che hanno portato alla perdita ingente di dati, così torniamo a parlare dei problemi connessi a plugin WordPress, specialmente quando quest’ultimi accadono su strumenti molto utilizzati da coloro che creano siti web con il noto CMS. Tutto questo, premettiamo, è accaduto a causa di quella che spesso abbiamo definito come pigrizia da parte di chi ha sviluppato e dovrebbe seguire un portale online, poiché ad essere state prese di mira sono state principalmente le versioni non aggiornate di un plugin.
Quest’ultimo altri non è che LiteSpeed Cache, strumento scaricabile ed utilizzabile anche gratuitamente sui siti sviluppati con WordPress e che consente agli utenti, memorizzando la cache, di velocizzare il sito, migliorarne l’utilizzabilità e quindi migliorarne anche il posizionamento nei motori di ricerca come Google. Durante il mese di aprile, diversi esperti in sicurezza hanno notato come fossero aumentate di parecchie unità le offensive da parte di coloro che vogliono sfruttare una vulnerabilità nota presente nella versione 5.7.0.1 del plugin (attualmente saremmo alla versione 6.2.0.1).
Queste offensive, se riescono, possono portare al classico attacco di Cross-Site Scripting, che consiste nell’inserimento di codice Javascript nei siti per poi prendere possesso di quest’ultimi cancellando gli utenti admin e inserendone di nuovi. Il livello di gravità della vulnerabilità è stato contrassegnato con un punteggio di 8.8 su 10 da MITRE, che a suo tempo aveva denominato la falla col codice CVE-2023-40000 (notare come l’anno di riferimento fosse il 2023). Gli osservatori di WPscan hanno notato come dallo stesso indirizzo IP fosse partito più di un milione di sondaggi per capire su quali siti fosse possibile fare breccia, mentre un tratto distintivo di queste campagne è la creazione, come abbiamo detto, di utenti admin chiamati wpsupp‑user o wp‑configuser.
Il grandissimo problema, visto che si tratta di un plugin che è stato correttamente aggiornato da molti utilizzatori, è costituito dal grande numero di utenti di questo strumento, che attualmente è installato su oltre 5 milioni di siti WordPress in tutto il mondo. A rimarcare il concetto, basti pensare che attualmente sembrerebbe che oltre 1.835.000 siti utilizza ancora la versione compromessa, trovandosi quindi in grave pericolo. La perdita di controllo del sito può portare ad una lunga serie di attività criminali, come campagne phishing, installazione di altri plugin malevoli, distribuzione di malware mediante il sito stesso, modifiche irrimediabili dei portali, furto dei dati di chi si è iscritto al sito e molto altro. In questi casi, i curatori dei siti dovranno procedere, finché ne hanno la possibilità, all’aggiornamento di tutti i plugin alle versioni più recenti, mentre in caso di attacco andato a buon fine dovranno effettuare una pulizia completa del sito a partire dagli utenti, che dovranno essere rimossi per intero e ricreati.
Fonte: 1
