Gli hacker prendono di mira il difetto del plugin WordPress dopo il rilascio dell’exploit PoC

Gli hacker stanno sfruttando attivamente una vulnerabilità recentemente risolta nel plugin WordPress Advanced Custom Fields circa 24 ore dopo che un exploit proof-of-concept (PoC) è stato reso pubblico.

La vulnerabilità in questione è CVE-2023-30777, un difetto di cross-site scripting (XSS) riflesso di elevata gravità che consente agli aggressori non autenticati di rubare informazioni sensibili e aumentare i propri privilegi sui siti WordPress interessati.

La falla è stata scoperta dalla società di sicurezza dei siti Web Patchstack il 2 maggio 2023 ed è stata divulgata insieme a un exploit proof-of-concept il 5 maggioun giorno dopo che il fornitore del plugin aveva rilasciato un aggiornamento di sicurezza con la versione 6.1.6.

Come riportato ieri dall’Akamai Security Intelligence Group (SIG), a partire dal 6 maggio 2023, è stata osservata un’attività significativa di scansione e sfruttamento utilizzando il codice di esempio fornito nell’articolo di Patchstack.

“Il SIG di Akamai ha analizzato i dati sugli attacchi XSS e ha identificato gli attacchi che hanno avuto inizio entro 24 ore dalla pubblicazione del PoC dell’exploit,” si legge il rapporto.

“Ciò che è particolarmente interessante è la query stessa: l’autore della minaccia ha copiato e utilizzato il codice di esempio Patchstack dall’articolo.”

Considerando che oltre 1,4 milioni di siti web che utilizzano il plugin WordPress interessato non sono stati aggiornati alla versione più recente, basato sulle statistiche di wordpress.orggli aggressori hanno una superficie di attacco piuttosto ampia da esplorare.

La falla XSS richiede il coinvolgimento di un utente registrato che ha accesso al plugin per eseguire codice dannoso sul proprio browser che fornirà agli aggressori un accesso privilegiato al sito.

Le scansioni dannose indicano che questo fattore di mitigazione non scoraggia gli autori delle minacce che confidano di poterlo superare attraverso trucchi di base e ingegneria sociale.

Inoltre, l’exploit funziona sulle configurazioni predefinite delle versioni dei plugin interessate, il che aumenta le possibilità di successo per gli autori delle minacce senza richiedere ulteriori sforzi.

Gli amministratori dei siti WordPress che utilizzano i plugin vulnerabili sono invitati ad applicare immediatamente la patch disponibile per proteggersi dalle continue attività di scansione e sfruttamento.

L’azione consigliata è aggiornare i plugin gratuiti e professionali “Advanced Custom Fields” alla versione 5.12.6 (backport) e 6.1.6.