Il team di Wordfence Threat Intelligence ha avvertito oggi che i siti WordPress sono attivamente presi di mira da exploit che prendono di mira una vulnerabilità zero-day nel plugin premium WPGateway.
WPGateway è un plugin per WordPress che consente agli amministratori di semplificare varie attività, tra cui la configurazione e il backup dei siti e la gestione di temi e plugin da una dashboard centrale.
Questa falla critica nella sicurezza relativa all’escalation dei privilegi (CVE-2022-3180) consente agli aggressori non autenticati di aggiungere un utente non autorizzato con privilegi di amministratore per assumere completamente il controllo dei siti che eseguono il vulnerabile plug-in WordPress.
“L’8 settembre 2022, il team di Wordfence Threat Intelligence è venuto a conoscenza di una vulnerabilità zero-day sfruttata attivamente per aggiungere un utente amministratore dannoso ai siti che eseguono il plug-in WPGateway”, ha affermato Ram Gall, analista senior delle minacce di Wordfence. disse Oggi.
“Il firewall Wordfence ha bloccato con successo oltre 4,6 milioni di attacchi contro questa vulnerabilità contro più di 280.000 siti negli ultimi 30 giorni.”
Sebbene Wordfence abbia rivelato lo sfruttamento attivo di questo bug di sicurezza in natura, non ha rilasciato ulteriori informazioni su questi attacchi e dettagli sulla vulnerabilità.
Omettendo queste informazioni, Wordfence afferma di voler prevenire ulteriori sfruttamenti. Ciò consentirà probabilmente anche a più clienti WPGateway di applicare patch alle proprie installazioni prima che altri aggressori sviluppino i propri exploit e si uniscano agli attacchi.
Come scoprire se il tuo sito è stato violato
Se vuoi verificare se il tuo sito web è stato compromesso in questa campagna in corso, devi verificare la presenza di un nuovo utente con permessi di amministratore con il rangex nome utente.
Inoltre, le richieste a //wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1 nei log verrà mostrato che il tuo sito è stato preso di mira dall’attacco ma non è stato necessariamente compromesso.
“Se hai installato il plugin WPGateway, ti invitiamo a rimuoverlo immediatamente fino a quando non sarà resa disponibile una patch e a verificare la presenza di utenti amministratori malintenzionati nella dashboard di WordPress”, ha avvertito Gall.
“Se conosci un amico o un collega che utilizza questo plugin sul proprio sito, consigliamo vivamente di inoltrargli questo avviso per aiutarlo a mantenere i propri siti protetti, poiché si tratta di una grave vulnerabilità che viene attivamente sfruttata in natura.”