Gli hacker stanno sfruttando attivamente due vulnerabilità di gravità critica nel tema e nel plugin Houzez per WordPress, due componenti aggiuntivi premium utilizzati principalmente nei siti web immobiliari.
Il tema Houzez è un plugin premium che costa $69 e offre una facile gestione delle inserzioni e un'esperienza cliente fluida. Il sito del venditore afferma di servire oltre 35.000 clienti nel settore immobiliare.
Le due vulnerabilità sono state scoperte dal ricercatore di minacce di Patchstack Dave Jong e segnalate al fornitore del tema, “ThemeForest”, con un difetto corretto nella versione 2.6.4 (agosto 2022) e l'altro nella versione 2.7.2 (novembre 2022).
Tuttavia, un nuovo rapporto Patchstack avverte che alcuni siti Web non hanno applicato l’aggiornamento di sicurezza e che gli autori delle minacce sfruttano attivamente queste vecchie falle negli attacchi in corso.
Abusato per prendere il controllo dei siti
Il primo difetto di Houzez viene segnalato come CVE-2023-26540 e ha un punteggio di gravità di 9,8 su 10,0 secondo lo standard CVSS v3.1, classificandolo come una vulnerabilità critica.
Si tratta di un errore di configurazione della sicurezza che influisce sulla versione 2.7.1 e precedenti del plug-in del tema Houzez e può essere sfruttato in remoto senza richiedere l'autenticazione per eseguire l'escalation dei privilegi.
La versione che risolve il problema è il tema Houzez 2.7.2 o successiva.
Il secondo difetto ha ricevuto l'identificatore CVE-2023-26009ed è anche considerato critico (CVSS v3.1: 9.8), con un impatto sul plugin Houzes Login Register.
Ha un impatto sulle versioni 2.6.3 e precedenti, consentendo agli aggressori non autenticati di eseguire l'escalation dei privilegi sui siti che utilizzano il plug-in.
La versione che affronta la minaccia alla sicurezza è Houzez Login Register 2.6.4 o successiva.
Dave Jong ha dichiarato a BleepingComputer che gli autori delle minacce sfruttano queste vulnerabilità inviando una richiesta all'endpoint che ascolta le richieste di creazione di account.
A causa di un bug nel controllo di convalida sul lato server, la richiesta può essere creata per creare un utente amministratore sul sito, consentendo agli aggressori di assumere il controllo completo sul sito WordPress.
Negli attacchi osservati da Patchstack, gli autori delle minacce hanno caricato una backdoor in grado di eseguire comandi, inserire annunci pubblicitari sul sito Web o reindirizzare il traffico verso altri siti dannosi.
“Poiché il ruolo utente desiderato può essere fornito dall'utente, ma non è convalidato correttamente sul lato server, può essere impostato sul valore “amministratore” per creare un nuovo account con il ruolo utente amministratore,” ricercatore di PatchStack D. Jong ha detto a BleepingComputer.
“Dopodiché, potrebbero fare qualsiasi cosa con il sito che vogliono, anche se quello che di solito vediamo è che verrà caricato un plugin dannoso che contiene una backdoor.
Sfortunatamente, Patchstack segnala che si sta abusando dei difetti durante la scrittura di questo articolo, quindi l'applicazione delle patch disponibili dovrebbe essere trattata con la massima priorità da parte dei proprietari e degli amministratori dei siti web.