I ricercatori di sicurezza informatica hanno avvertito che molteplici vulnerabilità di sicurezza di elevata gravità nei plugin di WordPress vengono attivamente sfruttate dagli autori delle minacce per creare account amministratori non autorizzati per successivi sfruttamenti.
“Queste vulnerabilità si trovano in vari plugin di WordPress e sono soggette ad attacchi di cross-site scripting (XSS) archiviati non autenticati a causa di un'inadeguata sanificazione dell'input e dell'escape dell'output, rendendo possibile agli aggressori di iniettare script dannosi,” i ricercatori di Fastly Simran Khalsa, Xavier Stevens e Matteo Mathur disse.
Le falle di sicurezza in questione sono elencate di seguito:
- CVE-2023-6961 (Punteggio CVSS: 7,2) – Scripting cross-site archiviato non autenticato in WP Meta SEO <= 4.5.12
- CVE-2023-40000 (Punteggio CVSS: 8,3) – Scripting cross-site archiviato non autenticato nella cache LiteSpeed <= 5,7
- CVE-2024-2194 (Punteggio CVSS: 7,2) – Scripting cross-site archiviato non autenticato nelle statistiche WP <= 14,5
Le catene di attacco che sfruttano le falle comportano l'iniezione di un payload che punta a un file JavaScript offuscato ospitato su un dominio esterno, che è responsabile della creazione di un nuovo account amministratore, dell'inserimento di una backdoor e dell'impostazione di script di monitoraggio.
Le backdoor PHP vengono inserite sia nei plugin che nei file dei temi, mentre lo script di tracciamento è progettato per inviare una richiesta HTTP GET contenente le informazioni sull'host HTTP a un server remoto (“ur.mystiqueapi[.]com/?ur”).
Fastly ha affermato di aver rilevato una parte significativa dei tentativi di sfruttamento provenienti da indirizzi IP associati all'Autonomous System (AS) IP Volume Inc. (AS202425), di cui una parte proveniente dai Paesi Bassi.
Vale la pena notare che la società di sicurezza WordPress WPScan precedentemente divulgato tentativi di attacco simili mirati a CVE-2023-40000 per creare account amministratori non autorizzati su siti Web sensibili.
Per mitigare i rischi posti da tali attacchi, si consiglia ai proprietari dei siti WordPress di rivedere i plug-in installati, applicare gli aggiornamenti più recenti e controllare i siti per rilevare eventuali segni di malware o la presenza di utenti amministratori sospetti.