Il plugin premium di WordPress WPGateway ha segnalato un difetto zero-day che viene sfruttato attivamente in natura. Denominato CVE-2022-3180 (punteggio CVSS: 9,8), consente ad attori malintenzionati di assumere completamente il controllo dei siti delle vittime. Il bug viene utilizzato per aggiungere un utente amministratore dannoso ai siti che eseguono il plug-in WPGateway, ha affermato Wordfence. “Parte della funzionalità del plugin espone una vulnerabilità che consente agli aggressori non autenticati di inserire un amministratore malintenzionato”, ha osservato Ram Gall, ricercatore di Wordfence. Incredibilmente, sono stati attaccati ben 280.000 siti di questo tipo.
Accesso WPGateway compromesso? Ecco come scoprirlo
WPGateway viene utilizzato per installare, eseguire il backup e clonare plugin e temi WordPress da una dashboard unificata. L’amministratore che esegue il plug-in compromesso viene fornito con il nome utente “rangex”. Inoltre, la comparsa di richieste a “//wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1” è anche un segno che il sito WordPress è stato compromesso utilizzando la falla.
Secondo Wordfenceil bug è stato utilizzato per condurre oltre 4,6 milioni di attacchi tentando di sfruttare la vulnerabilità contro più di 280000 siti negli ultimi 30 giorni. operatori Di WPGateway sono venuto a conoscenza della vulnerabilità l’8 settembre, ma è ancora una minaccia attiva in natura.
Si consiglia agli amministratori dei siti Web WordPress che utilizzano WPGateway di cercare l’aggiunta di un amministratore denominato “rangex”. Poiché la vulnerabilità deve ancora essere risolta, si consiglia agli utenti di rimuovere il plug-in dalle proprie installazioni WordPress fino a quando non verrà implementata una correzione. “Se hai installato il plugin WPGateway, ti invitiamo a rimuoverlo immediatamente fino a quando non sarà resa disponibile una patch e a verificare la presenza di utenti amministratori malintenzionati nel tuo WordPress dashboard”, ha condiviso Wordfence in a post sul blog.
Questa non è la prima volta che i siti WordPress sono esposti a vulnerabilità. L’anno scorso, è stato segnalato che oltre 90.000 siti Web sono stati rilevati a causa di un difetto in Brizy Page Builder che fornisce agli utenti un’esperienza di creazione di siti Web “senza codice”.