Considerando che molti MSSP e MSP gestiscono siti WordPress per i propri clienti, la notizia di un’iniezione di malware in cinque plugin di WordPress solleva preoccupazione sulla vulnerabilità di questo comune software di creazione di contenuti di siti Web.
L'attacco alla catena di fornitura del software fornisce backdoor con codice dannoso che consente di creare account amministratori non autorizzati, con l'obiettivo di eseguire azioni arbitrarie, riporta The Hacker News. L'intrusione ha creato account amministratori dannosi con i nomi utente “Opzioni” e “PluginAuth”, consentendo l'esfiltrazione dei dettagli dell'account all'indirizzo IP 94.156.79[.]8.
Gli aggressori hanno anche effettuato iniezioni di codice JavaScript dannoso per infettare i siti Web presi di mira con spam di ottimizzazione dei motori di ricerca, RibelleIl ricercatore sulla sicurezza di Wordfence Chloe Chamberland ha scritto sul blog. Tutti i plugin interessati sono già stati rimossi dalla directory dei plugin di WordPress. Solo Social Warfare ha pubblicato una nuova versione che affronta la questione. Agli amministratori del sito web è stata consigliata anche la cancellazione immediata dei plugin.
Ora, oltre al malware, un nuovo skimmer per carte di credito “Caesar Cipher Skimmer” sta infettando diverse piattaforme di gestione dei contenuti, tra cui WordPress, Magento e OpenCart. Ben Martin Di Rapporti sicuri.
Risolvere il problema
I plugin in questione non sono più disponibili per il download dalla directory dei plugin di WordPress in attesa della revisione in corso. Wordfense offre a guida completa per pulire il tuo sito WordPress e associati cerotti.
Wordfense elenca i plugin infetti:
- Guerra sociale 4.4.6.4 – 4.4.7.1; Versione con patch: 4.4.7.3
- Widget di fiamma 2.2.5 – 2.5.2; Versione con patch: nessuna
- Elemento collegamento wrapper 1.0.2 – 1.0.3; Versione patchata. Sembra che qualcuno abbia rimosso il codice dannoso, tuttavia, l'ultima versione è contrassegnata come 1.0.0, che è inferiore rispetto alle versioni infette. Ciò significa che potrebbe essere difficile aggiornare alla versione più recente. Si consiglia di rimuovere il plug-in fino al rilascio di una versione correttamente contrassegnata.
- Modulo di contatto 7 Componente aggiuntivo multi-step 1.0.4 – 1.0.5; Versione con patch, nessuna
- Mostra semplicemente gli hook 1.2.1; Versione con patch, nessuna
Il team di Wordfence Threat Intelligence sta eseguendo un’analisi più approfondita e fornirà ulteriori informazioni non appena saranno disponibili.
“Stiamo lavorando attivamente su un set di firme malware per fornire il rilevamento di questi plugin compromessi”, ha affermato Chamberland. “Tuttavia, se si esegue una versione dannosa di uno dei plugin, si verrà avvisati dal Wordfence Vulnerability Scanner per verificare che hai una vulnerabilità sul tuo sito e dovresti aggiornare il plugin dove disponibile o rimuoverlo il prima possibile.”
Gli attacchi alla catena di fornitura aumentano del 633%
L'attacco Word Press porta alla luce nuove ricerche da Sonatype 9th Rapporto annuale sullo stato della catena di fornitura del softwareche ha scoperto un enorme aumento del 633% degli attacchi alla catena di fornitura del software.