Gli hacker tentano di sfruttare la vulnerabilità più grave che si possa immaginare dei plug-in di WordPress

Gli hacker stanno attaccando i siti Web utilizzando un importante plug-in di WordPress con milioni di tentativi di sfruttare una vulnerabilità ad alta gravità che consente il controllo completo, hanno affermato i ricercatori.

La vulnerabilità risiede in WordPress automaticoun plugin con più di 38.000 clienti paganti. I siti Web che eseguono il sistema di gestione dei contenuti WordPress lo utilizzano per incorporare contenuti di altri siti. Ricercatori della società di sicurezza Patchstack divulgato il mese scorso che le versioni 3.92.0 e precedenti di WP Automatic presentavano una vulnerabilità con un livello di gravità di 9,9 su 10 possibili. Lo sviluppatore del plugin, ValvePress, ha pubblicato silenziosamente una patch, che è disponibile nelle versioni 3.92.1 e successive.

I ricercatori hanno classificato la falla, identificata come CVE-2024-27956, come una SQL injection, una classe di vulnerabilità che deriva dall'incapacità di un'applicazione web di interrogare correttamente i database backend. La sintassi SQL utilizza gli apostrofi per indicare l'inizio e la fine di una stringa di dati. Inserendo stringhe con apostrofi appositamente posizionati nei campi vulnerabili del sito Web, gli aggressori possono eseguire codice che esegue varie azioni sensibili, tra cui la restituzione di dati riservati, la concessione di privilegi di sistema amministrativo o la sovversione del funzionamento dell'app Web.

“Questa vulnerabilità è altamente pericolosa e si prevede che verrà sfruttata in massa”, hanno scritto i ricercatori di Patchstack il 13 marzo.

Collaboratore della società di sicurezza web WPScan ha detto giovedì che ha registrato più di 5,5 milioni di tentativi di sfruttare la vulnerabilità dalla divulgazione del 13 marzo da parte di Patchstack. I tentativi, ha detto WPScan, sono iniziati lentamente e hanno raggiunto il picco il 31 marzo. L'azienda non ha detto quanti di questi tentativi hanno avuto successo.

WPScan ha affermato che CVE-2024-27596 consente ai visitatori di siti Web non autenticati di creare account utente a livello di amministratore, caricare file dannosi e assumere il pieno controllo dei siti interessati. La vulnerabilità, che risiede nel modo in cui il plugin gestisce l'autenticazione dell'utente, consente agli aggressori di aggirare il normale processo di autenticazione e iniettare codice SQL che garantisce loro privilegi di sistema elevati. Da lì, possono caricare ed eseguire payload dannosi che rinominano file sensibili per impedire al proprietario del sito o ad altri hacker di controllare il sito compromesso.

Gli attacchi riusciti in genere seguono questo processo:

• Iniezione SQL (SQLi): Gli aggressori sfruttano la vulnerabilità SQLi nel plugin WP‑Automatic per eseguire query al database non autorizzate.
• Creazione utente amministratore: Grazie alla possibilità di eseguire query SQL arbitrarie, gli aggressori possono creare nuovi account utente a livello di amministratore all'interno di WordPress.
• Caricamento malware: Una volta creato un account a livello di amministratore, gli aggressori possono caricare file dannosi, in genere web shell o backdoor, sul server del sito Web compromesso.
• Rinomina file: L'aggressore può rinominare il file vulnerabile WP‑Automatic, per assicurarsi che solo lui possa sfruttarlo.

I ricercatori di WPScan hanno spiegato:

Una volta che un sito WordPress viene compromesso, gli aggressori garantiscono la longevità del loro accesso creando backdoor e offuscando il codice. Per eludere il rilevamento e mantenere l’accesso, gli aggressori possono anche rinominare il file vulnerabile WP‑Automatic, rendendo difficile per i proprietari di siti Web o gli strumenti di sicurezza identificare o bloccare il problema. Vale la pena ricordare che potrebbe anche essere un modo trovato dagli aggressori per evitare che altri malintenzionati sfruttino con successo i loro siti già compromessi. Inoltre, poiché l’aggressore può utilizzare gli elevati privilegi acquisiti per installare plugin e temi sul sito, abbiamo notato che, nella maggior parte dei siti compromessi, i malintenzionati installavano plugin che consentivano loro di caricare file o modificare codice.

Gli attacchi sono iniziati poco dopo il 13 marzo, 15 giorni dopo che ValvePress ha rilasciato la versione 3.92.1 senza menzionare la patch critica nelle note di rilascio. I rappresentanti di ValvePress non hanno risposto immediatamente a un messaggio in cerca di spiegazioni.

Mentre i ricercatori di Patchstack e WPScan stanno classificando CVE-2024-27956 come SQL injection, uno sviluppatore esperto ha affermato che la sua interpretazione della vulnerabilità è che si tratta di un'autorizzazione impropria (CWE-285) o una sottocategoria di controllo degli accessi impropri (CWE-284).

“Secondo Patchstack.comil programma è ipotetico di ricevere ed eseguire una query SQL, ma solo da un utente autorizzato”, ha scritto in un'intervista online lo sviluppatore, che non ha voluto usare il suo nome. “La vulnerabilità sta nel modo in cui controlla le credenziali dell'utente prima di eseguire la query, consentendo a un utente malintenzionato di aggirare l'autorizzazione. L'SQL injection avviene quando l'aggressore incorpora il codice SQL in quelli che avrebbero dovuto essere solo dati, e in questo caso non è così.”

Qualunque sia la classificazione, la vulnerabilità è quanto di più grave si possa immaginare. Gli utenti dovrebbero applicare immediatamente la patch al plug-in. Dovrebbero inoltre analizzare attentamente i propri server per rilevare eventuali segni di sfruttamento utilizzando gli indicatori di dati di compromissione forniti nel post WPScan collegato sopra.