WordPress: nuove vulnerabilità critiche su molti plugin

Nella giornata del 9 dicembre i tecnici di WordFence, sempre attenti al mondo delle vulnerabilità presenti sul CMS WordPress, hanno osservato una grossa quantità di attacchi a siti basati sulla nota piattaforma. Le vulnerabilità riguardano quattro plugin, tutti ancora molto utilizzati, e consentirebbero ai malintenzionati di effettuare operazioni arbitrarie all’interno di milioni di siti.

Per dare una misura della portata degli attacchi, si parla di almeno un milione di siti per i quali sono stati bloccati almeno 13 milioni di attacchi principalmente a causa di quattro plugin ovvero:

  • Kiwi Social Share (ultimo aggiornamento nel 2018)
  • WordPress Automatic
  • Pinterest Automatic
  • PublishPress Capabilites (ultimo aggiornamento il 6 dicembre 2021)

Inoltre, sono state scoperte altre vulnerabilità su una lunga lista di temi di Epsilon Framework. Esse consentivano agli hacker di effettuare operazioni arbitrarie nei backend WordPress delle vittime consentendo di far diventare amministratore chiunque volessero. Una volta ottenuti tali privilegi diventa molto semplice poi fare tutto ciò che si vuole di un sito web prendendone il totale controllo.

Gli attacchi notati da WordFence sono cominciati a partire dall’8 dicembre scorso, mentre prima l’attività era molto scarsa. Forse questo è accaduto dopo la l’aggiornamento rilasciato il 6 dicembre per PublishPress Capabilities, che può aver provocato l’attacco massiccio da parte degli hacker sulle opzioni arbitrarie. Per rendersi conto della portata dell’attacco basti pensare che l’IP considerato maggiormente pericoloso era arrivato addirittura a 430,067 attacchi bloccati.

Se il proprio sito risulta tra quelli attaccati è possibile correre ai ripari innanzitutto installando le patch già rilasciate dagli sviluppatori dei plugin coinvolti. Per capire se il proprio sito è a rischio è stata stilata la lista delle versioni fallaci dei quattro plugin:

  • PublishPress Capability v. 2.3
  • Kiwi Social Plugin v. 2.0.10
  • Pinterest Automatic v. 4.14.3
  • WordPress Automatic v. 3.53.2

Per quel che riguarda le versioni fallaci dei temi di Epsilon Framework, WordFence ha fornito la seguente lista:

  • Shapely v. 1.2.7
  • NewsMag v. 2.4.1
  • Activello v. 1.4.0
  • Illdy v. 2.1.4
  • Allegiant v. 1.2.5
  • Newspaper X v. 1.3.1
  • Pixova Lite v. 2.0.5
  • Brilliance v. 1.2.9
  • MedZone Lite v. 1.2.4
  • Regina Lite v. 2.0.4
  • Transcend v. 1.1.8
  • Affluent v. 1.1.0
  • Bonkers v. 1.0.5
  • Antreas v. 1.0.4
  • NatureMag Lite – Nessuna patch disponibile, si raccomanda la disinstallazione.

Per capire se il proprio sito è caduto vittima di un attacco dovuto a tali vulnerabilità è consigliabile consultare le impostazioni riguardanti i nuovi utenti nel backend e vedere come sono stati definiti. Il percorso da seguire è Impostazioni-> Generali e controllare che la casella Iscrizione non sia spuntata e che il ruolo predefinito dei nuovi utenti sia Sottoscrittore e non Amministratore o altri ruoli di rilievo.

 

Fonte: 1