Gli esperti di cybersecurity hanno riscontrato pochi giorni fa una importante vulnerabilità su un plugin di tipo premium presente nella repository del noto CMS WordPress. Il plugin in questione si chiama WPGateway e serve a gestire i propri siti di WordPress da un’unica interfaccia. La falla di sicurezza è contrassegnata dal seriale CVE-2022-3180 della MITRE con un punteggio elevatissimo, pari a 9,8. Ciò significa che la problematica potrebbe creare grandissimi problemi e ciò che è peggio è che a tutt’ora non è stata rilasciata alcuna patch.
Tale vulnerabilità zero-day consentirebbe agli hacker di introdursi nel sito scalando facilmente i privilegi e riuscendo così a diventare admin in modo piuttosto semplice. I siti WordPress che utilizzano WPGateway sono attualmente circa 280.000 e la casa di produzione del plugin di sicurezza Wordfence ha segnalato di aver già bloccato circa 4.6 milioni di tentativi d’attacco. Segno, questo, della conoscenza della falla da parte dei malintenzionati.
In una delle violazioni riscontrate un utente ha perso totalmente il controllo del sito dopo che un attaccante era riuscito ad entrare ed a creare un nuovo utente admin. C’è però un metodo per comprendere se il proprio sito con il plugin WPGateway è stato violato o no, ovvero cercare tra gli admin un utente chiamato rangex. Se tale nome risulta esistente, vuol dire che il sito potrebbe essere compromesso. Un altro sistema è quello di controllare se dai log di accesso si vedono richieste verso //wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1.
Nel paragrafo precedente abbiamo detto che i siti che presentano una di queste due caratteristiche potrebbero essere compromessi usando il condizionale. Questo perché i proprietari dei siti che riscontrano le caratteristiche di cui sopra devono necessariamente rimuovere il plugin WPGateway al più presto possibile e reinstallarlo quando verrà aggiornato. Ovviamente gli esperti raccomandano anche di girare il messaggio a tutti coloro che potrebbero usare il plugin di modo da abbassare al massimo i rischi. Come già accennato all’inizio dell’articolo non è stata ancora diffusa una patch di aggiornamento, pertanto è necessario seguire tutti gli aggiornamenti in merito da parte dei creatori del plugin.
Per evitare questi problemi si raccomanda anche di utilizzare soluzioni di cybersecurity lato server di livello, poiché sono in grado di far aumentare sensibilmente le barriere a protezione dei propri asset, siti compresi.