I plugin di WordPress continuano a essere sotto attacco da parte di hacker che utilizzano credenziali rubate (da altre violazioni di dati) per ottenere accesso diretto al codice del plugin. Ciò che rende questi attacchi particolarmente preoccupanti è che questi attacchi alla supply chain possono insinuarsi perché il compromesso appare agli utenti come plugin con un normale aggiornamento.
Attacco alla catena di fornitura
La vulnerabilità più comune si verifica quando un difetto del software consente a un utente malintenzionato di iniettare codice dannoso o lanciare qualche altro tipo di attacco, il difetto è nel codice. Ma un attacco alla catena di fornitura si verifica quando il software stesso o un componente di quel software (come uno script di terze parti utilizzato all'interno del software) viene direttamente alterato con codice dannoso. Ciò crea la situazione in cui il software stesso fornisce i file dannosi.
La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti definisce un attacco alla catena di fornitura (PDF):
“Un attacco alla supply chain del software si verifica quando un cyber threat actor si infiltra nella rete di un fornitore di software e impiega codice dannoso per compromettere il software prima che il fornitore lo invii ai propri clienti. Il software compromesso compromette quindi i dati o il sistema del cliente.
Il software appena acquisito potrebbe essere compromesso fin dall'inizio, oppure potrebbe verificarsi una compromissione tramite altri mezzi, come una patch o un hotfix. In questi casi, la compromissione si verifica comunque prima che la patch o l'hotfix entrino nella rete del cliente. Questi tipi di attacchi interessano tutti gli utenti del software compromesso e possono avere conseguenze diffuse per i clienti di software governativi, delle infrastrutture critiche e del settore privato.”
Per questo attacco specifico ai plugin di WordPress, gli aggressori utilizzano credenziali con password rubate per ottenere l'accesso agli account sviluppatore che hanno accesso diretto al codice del plugin per aggiungere codice dannoso ai plugin al fine di creare account utente di livello amministratore su ogni sito web che utilizza il plugin compromesso. Plugin WordPress.
Oggi, Wordfence ha annunciato che sono stati identificati altri plugin di WordPress come compromessi. Potrebbe benissimo essere il caso che ci saranno altri plugin compromessi. Quindi è bene capire cosa sta succedendo ed essere proattivi nel proteggere i siti sotto il tuo controllo.
Altri plugin WordPress attaccati
Wordfence ha emesso un avviso secondo cui sono stati compromessi più plug-in, incluso un plug-in per podcast molto popolare chiamato PowerPress Podcasting plug-in di Blubrry.
Questi sono i plugin compromessi recentemente scoperti e annunciati da Wordfence:
- Statistiche di integrità del server WP (wp-server-stats): 1.7.6
Versione patchata: 1.7.8
10.000 installazioni attive - Protezione dai clic non validi sugli annunci (AICP) (ad-invalid-click-protector): 1.2.9
Versione patchata: 1.2.10
Oltre 30.000 installazioni attive - Plugin PowerPress Podcasting di Blubrry (powerpress): 11.9.3 – 11.9.4
Versione patchata: 11.9.6
Oltre 40.000 installazioni attive - Ultima infezione – Immagini ottimizzate per SEO (seo-optimized-images): 2.1.2
Versione patchata: 2.1.4
Oltre 10.000 installazioni attive - Ultima infezione – Pod – Tipi di contenuto e campi personalizzati (pod): 3.2.2
Versione patchata: al momento non è necessaria alcuna versione patchata.
Oltre 100.000 installazioni attive - Ultima infezione – Twenty20 Immagine prima-dopo (twenty20): 1.6.2, 1.6.3, 1.5.4
Versione patchata: al momento non è necessaria alcuna versione patchata.
Oltre 20.000 installazioni attive
Questi sono il primo gruppo di plugin compromessi:
- Guerra sociale
- Widget Blaze
- Elemento collegamento wrapper
- Modulo di contatto 7 Componente aggiuntivo multi-step
- Mostra semplicemente i ganci
Maggiori informazioni su Attacco alla catena di fornitura del plugin WordPress qui.
Cosa fare se si utilizza un plugin compromesso
Alcuni plugin sono stati aggiornati per risolvere il problema, ma non tutti. Indipendentemente dal fatto che il plugin compromesso sia stato patchato per rimuovere il codice dannoso e che la password dello sviluppatore sia stata aggiornata, i proprietari del sito dovrebbero controllare il loro database per assicurarsi che non ci siano account admin non autorizzati aggiunti al sito web WordPress.
L'attacco crea account amministratore con i nomi utente di “Opzioni” o “PluginAuth”, quindi questi sono i nomi utente a cui prestare attenzione. Tuttavia, è probabilmente una buona idea cercare eventuali nuovi account utente a livello di amministratore non riconosciuti nel caso in cui l'attacco si sia evoluto e gli hacker utilizzino account amministratore diversi.
I proprietari di siti che utilizzano la versione gratuita o Pro di Wordfence del plugin di sicurezza Wordfence WordPress vengono avvisati se viene scoperto un plugin compromesso. Gli utenti di livello Pro del plugin ricevono firme malware per aver rilevato immediatamente i plugin infetti.
L'annuncio ufficiale di Wordfence riguardo a questi nuovi plugin infetti consiglia:
“Se hai installato uno di questi plugin, dovresti considerare la tua installazione compromessa e passare immediatamente alla modalità di risposta agli incidenti. Ti consigliamo di controllare i tuoi account utente amministrativi di WordPress ed eliminare quelli non autorizzati, oltre a eseguire una scansione completa del malware con il plugin Wordfence o Wordfence CLI e rimuovere qualsiasi codice dannoso.
Gli utenti Wordfence Premium, Care e Response, così come gli utenti Wordfence CLI a pagamento, hanno firme malware per rilevare questo malware. Gli utenti Wordfence gratuiti riceveranno lo stesso rilevamento dopo un ritardo di 30 giorni il 25 luglio 2024. Se stai eseguendo una versione dannosa di uno dei plugin, sarai avvisato da Wordfence Vulnerability Scanner che hai una vulnerabilità sul tuo sito e dovresti aggiornare il plugin dove disponibile o rimuoverlo il prima possibile.”
Per saperne di più:
Plugin WordPress compromessi alla fonte – Attacco alla Supply Chain
Immagine in primo piano di Shutterstock/Moksha Labs