Gli hacker hanno iniziato a prendere di mira una vulnerabilità di gravità critica nel plug-in WP Automatic per WordPress per creare account utente con privilegi amministrativi e per installare backdoor per l'accesso a lungo termine.
Attualmente installato su oltre 30.000 siti Web, WP Automatic consente agli amministratori di automatizzare l'importazione di contenuti (ad esempio testo, immagini, video) da varie fonti online e la pubblicazione sul proprio sito WordPress.
La vulnerabilità sfruttata è identificata come CVE-2024-27956 e ha ricevuto un punteggio di gravità di 9,9/10.
È stato reso pubblico dai ricercatori di PatchStack servizio di mitigazione delle vulnerabilità il 13 marzo e descritto come un problema di SQL injection che influisce sulle versioni di WP Automatic precedenti alla 3.9.2.0.
Il problema risiede nel meccanismo di autenticazione utente del plugin, che può essere aggirato per inviare query SQL al database del sito. Gli hacker possono utilizzare query appositamente predisposte per creare account amministratore sul sito Web di destinazione.
Oltre 5,5 milioni di tentativi di attacco
Da quando PatchStack ha rivelato il problema di sicurezza, WPScan di Automattic ha osservato più di 5,5 milioni di attacchi che cercavano di sfruttare la vulnerabilità, la maggior parte dei quali registrati il 31 marzo.
WPScan segnala che dopo aver ottenuto l'accesso amministrativo al sito Web di destinazione, gli aggressori creano backdoor e offuscano il codice per renderlo più difficile da trovare.
“Una volta che un sito WordPress viene compromesso, gli aggressori garantiscono la longevità del loro accesso creando backdoor e offuscando il codice”, legge il rapporto di WPScan.
Per impedire ad altri hacker di compromettere il sito web sfruttando lo stesso problema ed evitare il rilevamento, gli hacker rinominano anche il file vulnerabile “csv.php”.
Una volta ottenuto il controllo del sito Web, l'autore della minaccia installa spesso plug-in aggiuntivi che consentono il caricamento di file e la modifica del codice.
WPScan fornisce una serie di indicatori di compromissione che possono aiutare gli amministratori a determinare se il loro sito Web è stato violato.
Gli amministratori possono verificare la presenza di segnali che indicano che gli hacker hanno preso il controllo del sito Web cercando la presenza di un account amministratore che inizia con “xtw” e file denominati web.php E indice.phpquali sono le backdoor piantate nella recente campagna.
Per mitigare il rischio di violazione, i ricercatori consigliano agli amministratori dei siti WordPress di aggiornare il plugin WP Automatic alla versione 3.92.1 o successiva.
WPScan consiglia inoltre ai proprietari di siti Web di creare frequentemente backup del proprio sito in modo da poter installare rapidamente copie pulite in caso di compromissione.