La vulnerabilità del plugin WordPress pone gravi rischi per la sicurezza e consente l'acquisizione del sito
In poche parole: Molti plugin di WordPress sono progettati per migliorare la capacità del sistema di gestione dei contenuti di condividere rapidamente e facilmente contenuti da quasi ovunque su Internet. Ma un plugin particolare e popolare sembra rendere la vita più facile anche ai criminali informatici.
Il plugin WP Automatic è stato compromesso da una grave vulnerabilità di sicurezza che gli hacker sfruttano dal mese scorso. Questo plugin ha oltre 38.000 clienti paganti, consentendo ai siti WordPress di aggiungere facilmente nuovi post da varie fonti, come feed RSS, YouTube, Twitter o generando contenuti tramite ChatGPT.
Tracciato come CVE-2024-27956, il difetto è stato divulgato dalla società di sicurezza Patchstack a marzo e ha ricevuto un punteggio di gravità di 9,9 (su 10). Viene descritta come una vulnerabilità SQL injection altamente pericolosa, con gli analisti che prevedono uno sfruttamento diffuso dopo che gli hacker ne sono venuti a conoscenza. Secondo Patchstack, gli autori malintenzionati possono “interagire direttamente” con il database SQL di un sito WordPress, manipolando potenzialmente informazioni personali, account utente e altro ancora.
ValvePress, l'editore di WP Automatic, ha risolto il difetto di SQL injection nell'ultima versione del plugin (3.92.1) senza riconoscere il problema risolto nelle note di rilascio. Tuttavia, gli hacker hanno scoperto rapidamente CVE-2024-27956; UN recente bollettino dalla società di sicurezza WPScan ha affermato che il bug è stato preso di mira da oltre 5,5 milioni di tentativi di attacco dal 13 marzo 2024.
WPScan descrive il tipico processo di sfruttamento per CVE-2024-27956, che inizia con l'esecuzione di una query sul database non autorizzata e termina con la proprietà totale del sito Web compromesso. Una volta entrati, gli hacker possono creare nuovi account utente amministratore, caricare nuovi malware e plug-in e altro ancora. I criminali potrebbero anche rinominare lo script WAP PHP vulnerabile, assicurandosi che nessun'altra “cyber-gang” possa sfruttare la falla.
Una volta che un sito WordPress viene compromesso, un utente malintenzionato può creare backdoor e offuscare il proprio codice dannoso. Nella maggior parte dei siti compromessi scoperti da WPScan, i criminali informatici hanno installato i propri plugin per caricare file e modificare facilmente il codice. CVE-2024-27956 rappresenta un rischio per la sicurezza estremamente serio e tutti i clienti di WP Automatic sono invitati ad aggiornare immediatamente all'ultima versione del plugin, anche se alcuni ricercatori si chiedono se si qualifichi come un “vero” problema di SQL injection.
Uno sviluppatore senza nome ha notato che il plug-in WP Automatic è progettato per elaborare query SQL solo da utenti autorizzati. CVE-2024-27956 consente agli hacker di aggirare questi controlli di autorizzazione, mentre un'iniezione SQL avviene quando un utente malintenzionato incorpora codice SQL in quelli che “dovrebbero essere solo dati”, il che, secondo lo sviluppatore, non è il caso del WAP.