Oltre 280.000 siti WordPress attaccati utilizzando la vulnerabilità zero-day del plug-in WPGateway
Un difetto zero-day nell’ultima versione di un plugin premium di WordPress noto come WPGateway viene attivamente sfruttato in libertà, consentendo potenzialmente ad attori malintenzionati di assumere completamente il controllo dei siti interessati.
Tracciato come CVE-2022-3180 (punteggio CVSS: 9,8), il problema viene utilizzato come arma per aggiungere un utente amministratore malintenzionato ai siti che eseguono il plug-in WPGateway, ha osservato la società di sicurezza WordPress Wordfence.
“Parte della funzionalità del plug-in espone una vulnerabilità che consente agli aggressori non autenticati di inserire un amministratore malintenzionato”, ha affermato Ram Gall, ricercatore di Wordfence. disse in un consulto.
WPGateway viene considerato un mezzo che consente agli amministratori del sito di installare, eseguire il backup e clonare plugin e temi WordPress da una dashboard unificata.
L'indicatore più comune che un sito web che esegue il plug-in è stato compromesso è la presenza di un amministratore con il nome utente “rangex”.
Inoltre, la comparsa di richieste a “//wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1” nei registri di accesso è un segno che il sito WordPress è stato preso di mira utilizzando il difetto, sebbene non implica necessariamente una violazione riuscita.
Wordfence ha affermato di aver bloccato oltre 4,6 milioni di attacchi che tentavano di sfruttare la vulnerabilità contro più di 280.000 siti negli ultimi 30 giorni.
Ulteriori dettagli sulla vulnerabilità sono stati nascosti a causa dello sfruttamento attivo e per impedire ad altri attori di approfittare della lacuna. In assenza di una patch, si consiglia agli utenti di rimuovere il plug-in dalle proprie installazioni WordPress fino a quando non sarà disponibile una correzione.
Lo sviluppo arriva giorni dopo l’avvertimento di Wordfence abuso in natura di un altro difetto zero-day in un plugin di WordPress chiamato BackupBuddy.
La divulgazione arriva anche come Sansec rivelato che gli autori delle minacce hanno violato il sistema di licenza di estensione di FishPigun fornitore di popolari integrazioni Magento-WordPress, per iniettare codice dannoso progettato per installare un trojan di accesso remoto chiamato Documentazione.