Gli hacker prendono di mira il plugin vulnerabile di WordPress Elementor dopo il rilascio del PoC

Gli hacker stanno ora sondando attivamente la vulnerabilità dei componenti aggiuntivi essenziali per le versioni dei plug-in Elementor su migliaia di siti Web WordPress durante massicce scansioni di Internet, tentando di sfruttare un difetto critico di reimpostazione della password dell’account divulgato all’inizio del mese.

Il difetto di gravità critica viene tracciato come CVE-2023-32243 e influisce sui componenti aggiuntivi essenziali per le versioni Elementor da 5.4.0 a 5.7.1, consentendo agli aggressori non autenticati di reimpostare arbitrariamente le password degli account amministratore e assumere il controllo dei siti Web.

Il difetto quello ha avuto un impatto su oltre un milione di siti web è stato scoperto da PatchStack l’8 maggio 2023 e risolto dal fornitore l’11 maggio, con il rilascio della versione 5.7.2 del plugin.

Scala di sfruttamento

Il 14 maggio 2023, i ricercatori hanno pubblicato un exploit proof-of-concept (PoC) su GitHub, rendendo lo strumento ampiamente disponibile agli aggressori.

All’epoca, un lettore di BleepingComputer e proprietario di un sito web riferirono che il loro sito era stato colpito da hacker che avevano reimpostato la password dell’amministratore sfruttando la falla. Tuttavia, la portata dello sfruttamento era sconosciuta.

Un rapporto di Wordfence pubblicato ieri fa più luce, con la società che afferma di osservare milioni di tentativi di indagine per la presenza del plugin sui siti Web e di aver bloccato almeno 6.900 tentativi di sfruttamento.

Il giorno successivo alla scoperta del difetto, WordFence ha registrato 5.000.000 di scansioni alla ricerca del file “readme.txt” del plugin, che contiene le informazioni sulla versione del plugin e quindi determina se un sito è vulnerabile.

“Sebbene esistano servizi che analizzano i dati di installazione per scopi legittimi, riteniamo che questi dati indichino che gli aggressori hanno iniziato a cercare siti vulnerabili non appena la vulnerabilità è stata rivelata.” commenta Wordfence nel rapporto.

La maggior parte di queste richieste proveniva da due soli indirizzi IP, “185.496.220.26” e “185.244.175.65”.

Per quanto riguarda i tentativi di sfruttamento, l’indirizzo IP “78.128.60.112” ha avuto un volume considerevole, utilizzando l’exploit PoC rilasciato su GitHub. Altri IP di attacco di alto rango contano tra 100 e 500 tentativi.

Si consiglia ai proprietari di siti Web che utilizzano il plug-in “Componenti aggiuntivi essenziali per Elementor” di applicare l’aggiornamento di sicurezza disponibile installando immediatamente la versione 5.7.2 o successiva.

“Considerando la facilità con cui questa vulnerabilità può essere sfruttata con successo, consigliamo vivamente a tutti gli utenti del plug-in di aggiornarsi al più presto per garantire che il loro sito non sia compromesso da questa vulnerabilità”, consiglia Wordfence.

Inoltre, gli amministratori dei siti Web dovrebbero utilizzare gli indicatori di compromissione elencati nel rapporto di Wordfence e aggiungere gli indirizzi IP offensivi a una lista bloccata per fermare questi e futuri attacchi.

Gli utenti del pacchetto di sicurezza gratuito di Wordfence saranno coperti dalla protezione contro CVE-2023-32243 il 20 giugno 2023, quindi anche loro sono attualmente esposti.