Come spesso accade, gli analisti di cybersecurity di tutto il mondo riscontrano problematiche di sicurezza su una lunga serie di strumenti come i plugin ed i temi, che sono parte integrante di CMS come WordPress. Talvolta questi strumenti hanno una base di utilizzo molto scarsa, pertanto gli avvisi di sicurezza vengono trattati con un livello più basso d’emergenza, ma quando capita a strumenti usati da una larga parte di persone, specie se a pagamento, l’allerta diventa un po’ più alta.
È questo il caso della nuova vulnerabilità scoperta sull’editor più noto ed utilizzato su WordPress, ovvero la versione Pro di Elementor, che già negli anni passati ha fatto parlare di sé per altre falle di sicurezza prontamente patchate. La gravità, come detto in introduzione, è molto alta poiché Elementor, sia free che Pro, conta ben 10 milioni di utilizzatori in tutto il mondo e serve per creare ancor più facilmente i siti senza aver particolari competenze in sviluppo e in HTML.
Ciò che è peggio è che la vulnerabilità, riscontrata intorno al 18 di marzo, in questo caso è stata sfruttata ufficialmente dagli hacker e riguarda la versione 3.11.6 del plugin e tutte le precedenti ma solo quando si associa WooCommerce ad Elementor Pro. A causa di un errore su un check degli accessi al modulo WooCommerce di Elementor, infatti, qualsiasi utente riuscirebbe ad effettuare modifiche delle opzioni del database WordPress. Detto in parole povere, l’hacker che riesce a sfruttare la vulnerabilità potrebbe arrivare persino a prendere il controllo degli interi siti e per farlo, tramite questa falla, basta essere autenticati anche solo come clienti. Ovviamente la presa in ostaggio del sito presuppone le classiche attività di cancellazione dell’amministratore attuale e la creazione di nuovi utenti admin che presumibilmente dirotteranno il traffico del sito corrotto verso altri portali malevoli.
Come già accennato, sono state riscontrate violazioni dei siti partite dallo sfruttamento di questa falla, che hanno portato alla creazione di backdoor. Quest’ultime, secondo gli analisti, hanno quasi sempre uno dei tre nomi wp-resortpark.zip, wp-rate.php o lll.zip. Oltretutto è già stata stilata una lista, fortunatamente corta, degli IP dai quali sono stati perpetrati gli attacchi. La soluzione principale tuttavia resta sempre quella di aggiornare il plugin, per il quale sono state già rilasciate numerose versioni. Quantomeno, è fondamentale installare la versione 3.11.7, ma anche le successive, come la già rilasciata 3.12.1.