Gli autori delle minacce hanno effettuato attacchi su larga scala contro centinaia di migliaia di siti Web WordPress, sfruttando una vulnerabilità recentemente corretta nel popolare Pagamenti WooCommerce plug-in di e-commerce.
La campagna, condotta da hacker non identificati, è iniziata il 14 luglio e ha raggiunto il picco di 1,3 milioni di attacchi contro 157.000 siti il 16 luglio, secondo un rapporto Posta del lunedì di Ram Gall, analista delle minacce presso la società di sicurezza WordPress Wordfence.
WooCommerce Payments è installato su oltre 600.000 siti WordPress per consentire l’elaborazione dei pagamenti. Gli aggressori cercano di sfruttare una vulnerabilità critica, patchato a marzoche consente agli avversari di ottenere l’accesso amministrativo non autorizzato tramite il plug-in.
La vulnerabilità, tracciata come CVE-2023-28121ha un punteggio CVSS v3 pari a 9,8, il che lo rende “un obiettivo attraente” per gli autori delle minacce, ha scritto Gall.
“Questi attacchi dimostrano una sofisticatezza significativamente maggiore rispetto ad attacchi simili che abbiamo visto in passato, inclusa la ricognizione in vista dell’ondata principale di attacchi e metodi multipli per mantenere la persistenza utilizzando funzionalità disponibili per gli utenti a livello di amministratore”, ha scritto, aggiungendo che “A differenza di molte altre campagne su larga scala che tipicamente attaccano milioni di siti indiscriminatamente, questa sembra essere mirata contro un insieme più piccolo di siti web.”
Wordfence ha osservato più di 213.000 attacchi provenienti da un indirizzo IP: 194.169.175.93, mentre sono stati rilevati più di 150.000 ulteriori attacchi da una manciata di altri indirizzi.
Una volta che gli autori delle minacce sono riusciti a ottenere i privilegi di amministratore, sono stati spesso osservati mentre tentavano di installare il plug-in WP Console, che può essere utilizzato per eseguire codice dannoso e posizionare un uploader di file su un sistema compromesso per stabilire la persistenza.
All’inizio di questo mese, Julien Ahrens di RCE Security ha pubblicato un blog tecnico analizzando la vulnerabilità di WooCommerce e dimostrando una prova di concetto utilizzata per sfruttarla.
“Dato che possiamo impersonare utenti amministrativi, è abbastanza facile compromettere l’intera istanza di WordPress”, ha scritto.
Gall ha affermato che Wordfence ha iniziato a vedere i “precoci segnali di allarme” della campagna dell’autore della minaccia prima dell’ondata principale di attacchi tra il 14 e il 16 luglio.
Gli aggressori hanno cercato in milioni di siti per vedere se c’era un file readme.txt situato nella directory wp-content/plugins/woocommerce-payments/. Se così fosse, sarebbe un forte indicatore del fatto che il plugin vulnerabile era installato.
A marzo, WooCommerce ha fornito una correzione per la vulnerabilità e ha collaborato con WordPress per aggiornare automaticamente e applicare patch ai siti che eseguono versioni dalla 4.8.0 alla 5.6.1 del plug-in WooCommerce Payments.
Tutti i siti Web che hanno la versione 4.8.0 o successiva del plug-in installata e attivata, ma che non sono ospitati su WordPress.com e non sono stati aggiornati a una versione con patch, rimangono potenzialmente a rischio di vulnerabilità.