Nuovo difetto nel plugin WordPress utilizzato da oltre un milione di siti sotto sfruttamento attivo
È stata rilevata una vulnerabilità di sicurezza nel popolare plugin WordPress Componenti aggiuntivi essenziali per Elementor che potrebbe essere potenzialmente sfruttato per ottenere privilegi elevati sui siti interessati.
Il problema, tracciato come CVE-2023-32243, è stato risolto dai manutentori del plugin nella versione 5.7.2 che è stata spedita l’11 maggio 2023. I componenti aggiuntivi essenziali per Elementor hanno oltre un milione di installazioni attive.
“Questo plugin soffre di una vulnerabilità di escalation dei privilegi non autenticati e consente a qualsiasi utente non autenticato di aumentare i propri privilegi a quelli di qualsiasi utente sul sito WordPress,” il ricercatore di Patchstack Rafie Muhammad disse.
Lo sfruttamento riuscito della falla potrebbe consentire a un autore di minacce di reimpostare la password di qualsiasi utente arbitrario purché la parte malintenzionata sia a conoscenza del proprio nome utente. Si ritiene che il difetto esistesse già dalla versione 5.4.0.
Ciò può avere gravi conseguenze in quanto la falla potrebbe essere utilizzata come arma per reimpostare la password associata a un account amministratore e prendere il pieno controllo del sito web.
“Questa vulnerabilità si verifica perché questa funzione di reimpostazione della password non convalida una chiave di reimpostazione della password e modifica invece direttamente la password di un determinato utente”, ha sottolineato Muhammad.
Scopri il rilevamento delle minacce interne con le strategie di risposta delle applicazioni
Scopri come il rilevamento, la risposta e la modellazione automatizzata del comportamento delle applicazioni possono rivoluzionare la tua difesa contro le minacce interne.
La divulgazione arriva più di un anno dopo Patchstack rivelato un altro grave difetto nello stesso plugin che potrebbe essere stato utilizzato in modo improprio per eseguire codice arbitrario su siti Web compromessi.
I risultati seguono anche la scoperta di una nuova ondata di attacchi contro i siti WordPress dalla fine di marzo 2023 che mira a iniettare il famigerato SocGholish (alias FakeUpdates) malware.
SocGholish è un persistente JavaScript struttura del malware che funziona come fornitore di accesso iniziale per facilitare la distribuzione di ulteriore malware agli host infetti. Il malware è stato distribuito tramite download drive-by mascherati da aggiornamento del browser web.
È stato scoperto che l’ultima campagna rilevata da Sucuri sfrutta tecniche di compressione utilizzando una libreria software chiamata zlib per nascondere il malware, ridurne l’impronta ed evitare il rilevamento.
“I malintenzionati evolvono continuamente le loro tattiche, tecniche e procedure per eludere il rilevamento e prolungare la durata delle loro campagne malware”, ha affermato Denis Sinegubko, ricercatore di Sucuri. disse.
“Il malware SocGholish ne è un ottimo esempio, così come lo hanno già fatto gli aggressori modificato il loro approccio nel passato per iniettare script dannosi nei siti Web WordPress compromessi.”
Non è solo SocGholish. Malwarebytes, in un rapporto tecnico di questa settimana, ha descritto in dettaglio una campagna di malvertising che serve ai visitatori di siti Web per adulti annunci popunder che simulano un falso aggiornamento di Windows per rilasciare il caricatore “in2al5d p3in4er” (aka Invalid Printer).
“Lo schema è molto ben progettato in quanto si basa sul browser web per visualizzare un’animazione a schermo intero che assomiglia molto a ciò che ti aspetteresti da Microsoft”, Jérôme Segura, direttore dell’intelligence sulle minacce presso Malwarebytes, disse.
Il caricatore, che era documentato da Morphisec il mese scorso, è progettato per controllare la scheda grafica del sistema per determinare se è in esecuzione su una macchina virtuale o in un ambiente sandbox e infine avviare il Aurora malware per il furto di informazioni.
La campagna, secondo Malwarebytes, ha mietuto 585 vittime negli ultimi due mesi, con l’autore della minaccia collegato anche ad altre truffe legate al supporto tecnico e ad un Amadybot pannello di comando e controllo.
Componenti aggiuntivi essenziali per il difetto del plugin Elementor sfruttato attivamente
Wordfence, nel proprio parere, disse la vulnerabilità critica nel plug-in Essential Addons for Elementor viene sfruttata attivamente in natura e ha bloccato 200 attacchi mirati al difetto nelle ultime 24 ore, rendendo imperativo che gli utenti si muovano rapidamente per aggiornare alla versione più recente.
Anche la società di sicurezza WordPress notato la maggior parte dei tentativi di sfruttamento proveniva da un unico indirizzo IP 78.128.60[.]112, seguito da 23.224.195[.]51 e 212.113.119[.]6.