I ricercatori hanno scoperto una nuova ondata di attacchi malware contro i siti Web WordPress, sfruttando le vulnerabilità XSS note in diversi plug-in WordPress per distribuire malware. Gli utenti devono assicurarsi di aggiornare i propri siti con le ultime versioni dei plug-in per evitare la minaccia.
Nuove campagne malware sfruttano XSS in diversi plugin WordPress
Secondo quanto riferito, gli autori delle minacce hanno ideato una nuova campagna malware sfruttando la pratica generale degli amministratori dei siti, lasciando i loro siti in esecuzione con versioni di plug-in vulnerabili. Nella recente campagna, gli aggressori hanno sfruttato diverse vulnerabilità di cross-site scripting (XSS) in tre diversi plugin di WordPress per distribuire malware.
Come spiegato nel loro inviareI ricercatori del team di sicurezza hanno osservato rapidamente lo sfruttamento attivo delle seguenti tre vulnerabilità XSS.
- CVE-2023-6961 (CVSS 7.2): Un XSS di elevata gravità che interessa il plugin WP Meta SEO. L'XSS memorizzato ha avuto un impatto sull'intestazione “Referer”, consentendo a un avversario non autenticato di iniettare script arbitrari su pagine Web che verrebbero eseguiti in seguito alle visite delle pagine degli utenti. Gli sviluppatori del plugin hanno corretto questa vulnerabilità con la versione v.4.5.13.
- CVE-2023-40000 (CVSS 8.3): Un'altra vulnerabilità di elevata gravità che colpisce il plug-in LiteSpeed Cache. Gli sviluppatori hanno risolto questo difetto con la versione del plugin 5.7.0.1, rilasciata nell'ottobre 2023.
- CVE-2024-2194 (CVSS 7.2): Questo difetto XSS memorizzato di elevata gravità ha influito sul parametro di ricerca URL nel plug-in WP Statistics. Ha influenzato le versioni del plugin 14.5 e precedenti, ricevendo infine una patch con la versione 14.5.1
I ricercatori hanno rapidamente osservato un nuovo malware JavaScript che sfruttava questi difetti. Come dichiarato,
I payload di attacco che stiamo osservando mirando a queste vulnerabilità inseriscono un tag script che punta a un file JavaScript offuscato ospitato su un dominio esterno.
Nello specifico, questo malware svolge tre funzioni principali: installazione di backdoor PHP, creazione di account amministratore non autorizzati e impostazione di script di monitoraggio per monitorare i siti presi di mira.
Sebbene gli sviluppatori abbiano adeguatamente correttore tutte e tre le vulnerabilità, lo sfruttamento attivo delle falle in natura suggerisce chiaramente l'ignoranza degli utenti nel garantire tempestivi aggiornamenti del sito. Ora che la minaccia è già diffusa, gli amministratori di WordPress devono garantire che questi Plugin WP (e tutti gli altri in esecuzione sui loro siti) vengono aggiornati con le ultime versioni per ricevere tutte le correzioni di sicurezza.
Fateci sapere che ne pensate nei commenti.