Gli hacker hanno individuato una vulnerabilità critica del plugin WP-Automatic, mirando a infiltrarsi nei siti Web WordPress creando account amministratore non autorizzati, secondo recenti rapporti. La falla, identificata nelle versioni precedenti alla 3.9.2.0 del plugin WP Automatic, ha spinto gli esperti di sicurezza informatica a emettere avvisi urgenti ai proprietari e agli amministratori dei siti web.
La vulnerabilità, contrassegnata con l'identificatore “CVE-2024-27956“, è stato caratterizzato come un problema di elevata gravità con un punteggio CVSS di 9,8. Si tratta di un difetto di SQL injection nel meccanismo di autenticazione utente del plugin, che essenzialmente consente agli autori delle minacce di aggirare le misure di sicurezza e ottenere privilegi amministrativi.
Vulnerabilità del plugin WP-Automatic da decodifica
Lo sfruttamento di questa vulnerabilità garantisce agli hacker la possibilità di impiantare backdoor all'interno dei siti Web, garantendo un accesso non autorizzato prolungato.
I rapporti indicano che gli hacker hanno sfruttato attivamente questa situazione vulnerabilitàsfruttando l'uso diffuso del plug-in WP Automatic su oltre 30.000 siti Web. L'exploit consente loro di eseguire varie attività dannose, tra cui la creazione di account amministratore, il caricamento di file danneggiati e l'esecuzione di attacchi SQL injection.
Ricercatori di sicurezza informatica hanno osservato un aumento dei tentativi di exploit, con oltre 5,5 milioni di attacchi registrati da quando la vulnerabilità è stata resa pubblica. Il panorama delle minacce è aumentato rapidamente, raggiungendo il picco il 31 marzo, sottolineando l’urgenza per i proprietari di siti web di intraprendere azioni immediate per proteggere le proprie risorse online.
Il lato tecnico delle vulnerabilità del plugin WP-Automatic
Il plug-in automatico, sviluppato da ValvePress, deve affrontare una sfida oltre ogni comprensione poiché la vulnerabilità colpisce migliaia di utenti che hanno scaricato il plug-in tramite WordPress e altri mercati di plug-in WP.
La vulnerabilità derivava dal file inc/csv.php, che consentiva agli utenti non autenticati di fornire ed eseguire query SQL arbitrarie. Nonostante i controlli iniziali utilizzando la funzione wp_automatic_trim(), aggirarli era fattibile fornendo una stringa vuota come parametro di autenticazione ($auth) e creando l'hash MD5 della query SQL per sovvertire i controlli di integrità.
Inoltre, la vulnerabilità risiedeva nel file downloader.php, dove gli utenti non autenticati potevano fornire URL arbitrari o anche file locali tramite $_GET[‘link’] parametro per il recupero tramite cURL. Questo difetto ha facilitato gli attacchi SSRF (server-side request forgery).
Per mitigare il vulnerabilitàil venditore ha adottato diverse misure. Per il Esecuzione SQL vulnerabilità, l'intero file inc/csv.php è stato rimosso. Per la vulnerabilità Download file e SSRF è stato implementato un controllo nonce, abbinato a controlli di convalida sulla variabile $link.
Mitigazione della vulnerabilità del plugin WP-Automatic
Per salvaguardarsi da potenziali compromessi, sicurezza informatica gli analisti raccomandano le seguenti misure, incluso l'aggiornamento regolare del plug-in WP-Automatic alla sua versione più recente, fondamentale per correggere le vulnerabilità note e rafforzare le misure di sicurezza. I controlli regolari degli account utente di WordPress aiutano a identificare e rimuovere utenti amministratori non autorizzati o sospetti, riducendo il rischio di accesso non autorizzato.
L’utilizzo di robusti strumenti di monitoraggio della sicurezza aiuta a rilevare e rispondere tempestivamente ad attività dannose, migliorando le capacità di rilevamento delle minacce. È essenziale mantenere aggiornati i backup del sito web dati per consentire un rapido ripristino in caso di compromissione, riducendo al minimo i tempi di inattività e la perdita di dati.
Gli amministratori dei siti web dovrebbero prestare attenzione agli indicatori di compromissione, inclusi gli account amministratore con nomi che iniziano con “xtw”, percorsi di file vulnerabili rinominati e file con hash SHA1 rilasciati nel file system del sito.
Lo sfruttamento delle vulnerabilità del plug-in WP-Automatic evidenzia il fenomeno in corso minacce alla sicurezza informatica all'interno degli ecosistemi WordPress. Implementando tempestivamente le misure di mitigazione suggerite e stando attenti a potenziali indicatori di compromissione, i proprietari di siti Web possono rafforzare le proprie difese contro gli autori malintenzionati che mirano a sfruttare queste vulnerabilità.
Dichiarazione di non responsabilità per i media: questo rapporto si basa su ricerche interne ed esterne ottenute con vari mezzi. Le informazioni fornite sono solo a scopo di riferimento e gli utenti si assumono la piena responsabilità per aver fatto affidamento su di esse. Il Cyber-Espresso non si assume alcuna responsabilità per l'accuratezza o le conseguenze dell'utilizzo di queste informazioni.