• Homepage
  • Articoli
  • Tema
  • Gli hacker utilizzano attivamente plugin WordPress vulnerabili per attaccare i siti web

Gli hacker utilizzano attivamente plugin WordPress vulnerabili per attaccare i siti web

Pubblicato: 2021-12-23

Plugin WordPress da attaccare
Sempre più hacker utilizzano le ultime vulnerabilità di sicurezza riscontrate di recente negli attacchi dei plugin di WordPress. I criminali informatici prendono di mira quei proprietari di siti Web che non aggiornano i loro plug-in e utilizzano ancora versioni precedenti di versioni vulnerabili.

Diversi gruppi di hacker lo fanno. Per ora, gli esperti di sicurezza conoscono almeno due gruppi che stanno attaccando versioni senza patch di Profile Builder, ThemeGrill Demo Importer e plug-in Duplicator.

Questi sono plugin abbastanza popolari installati su numerosi siti web. Si stima che ci siano diverse centinaia di migliaia di siti Web che rischiano di essere sfruttati perché i loro proprietari non hanno aggiornato questi tre plug-in.

Tutti i plugin sopra menzionati condividono una cosa in comune. I ricercatori di sicurezza hanno recentemente condiviso rapporti su bug di sicurezza critici trovati in questi plugin che potrebbero portare alla compromissione del sito web.

Uno degli avversari che gli esperti di sicurezza chiamano Tonyredball ottiene l'accesso a siti Web WP che hanno una versione vulnerabile di:

ThemeGrill Demo Importer (sotto la versione 1.6.3) Il difetto consente a qualsiasi utente di accedere come un amministratore e cancellare l'intero database.

Profile Builder (sotto la versione 3.1.1) Il bug consente anche agli utenti non autenticati di ottenere i privilegi di amministratore.

Gruppo Tonyredball
Gli esperti di sicurezza di Defiant sottolineano che il gruppo Tonyredball sfrutta il bug di registrazione dell'amministratore nel plug-in Profile Builder utilizzando richieste web contenenti l'e-mail e il nome utente del nuovo account amministratore.

Allo stesso tempo, gli esperti ritengono che questo gruppo di hacker sia coinvolto in molti altri attacchi che sfruttano il bug di cancellazione del database trovato nel plugin ThemeGrill Demo Importer.

Il motivo dello sfruttamento di massa di ThemeGrill Demo Importer è probabilmente la facilità di farlo. Richiede solo agli aggressori di inviare una richiesta a un attacco a un sito vulnerabile tramite i plug-in di WordPress. E nel caso di Profile Builder, gli aggressori dovrebbero impegnarsi in modo più serio poiché dovrebbero prima trovare la forma vulnerabile.

Il risultato finale dello sfruttamento di entrambe le vulnerabilità è l'ottenimento dei privilegi amministrativi e la possibilità di accedere al sito Web della vittima. Una volta ottenuto l'accesso, con l'aiuto del tema e dei caricatori di plug-in, gli hacker caricano i loro script dannosi nella dashboard di WordPress.

Gli attori delle minacce utilizzano diversi tipi di script associati a nomi di file come wp-block-plugin.php, blockspluginn.php, supersociall.php e wp-block-plugin.php.

Dopo lo sfruttamento iniziale, gli aggressori forniscono payload aggiuntivi destinati a infettare più file e ottenere una presenza più ampia sul sito. Inoltre, i ricercatori hanno osservato che gli autori di malware iniziano a cercare altri siti WP vulnerabili allo stesso metodo di sfruttamento.

In molti casi, gli aggressori iniettano codice malevolo in file JavaScript legittimi. L'obiettivo di questa mossa è caricare un altro script da un server diverso che reindirizzerebbe i visitatori a siti Web dannosi controllati dai criminali informatici.

Al momento, questo reindirizzamento è facile da individuare e non sofisticato, ma i malfattori potrebbero modificare il loro copione per renderlo molto più subdolo.

In un caso, i visitatori sono stati reindirizzati a un sito Web chiamato Talktofranky che ha richiesto di premere Consenti sul popup di notifica del browser, al fine di dimostrare che sono persone reali e non bot. In tal caso, i visitatori hanno consentito al sito di inviare varie notifiche, incluso lo spam.

Può sembrare una minaccia minore, ma i proprietari di dispositivi Mac che non sono facili da hackerare spesso cadono vittime di tali trucchi. Ad esempio, gli utenti si sono trovati reindirizzati a siti canaglia come A.akamaihd.net.

I ricercatori della sicurezza hanno trovato una discussione su uno dei forum online dedicati a questa situazione, suggerendo che ci sono parecchie vittime.

Ciò che è interessante, tutti gli attacchi del gruppo Tonyredball provengono da un unico IP -45.129.96.17. Si trova in Estonia ed è assegnato al provider di hosting locale chiamato GMHost. Questo provider è noto per le sue politiche scadenti che attirano molti criminali informatici a ospitare lì. Questo fornitore semplicemente non reagisce ai reclami.

Non è molto chiaro quanti siti Web WordPress possano essere colpiti a causa di plug-in vulnerabili. I ricercatori stimano che il plug-in Profile Builder possa essere installato su circa 37.000 siti e ThemeGrill Demo Importer su circa 40.000 siti.

Gruppo Solarsalvador1234
Un altro gruppo che sembra essere più sofisticato è chiamato Solarsalvador1234. I ricercatori di Defiant lo hanno chiamato così perché è il nome di un indirizzo e-mail spesso utilizzato nelle richieste web che hanno portato allo sfruttamento.

Questo attore di minacce prende di mira anche i due plug-in sopra menzionati, ma oltre a loro, il gruppo Solarsalvador1234 ha il plug-in Duplicator nella sua lista. Questo plugin per WordPress aiuta a clonare e migrare un sito web da un luogo all'altro. Ha più di un milione di installazioni attive!

È stato segnalato che le versioni di Duplicator precedenti alla 1.3.28 possiedono un difetto di sicurezza che consente ai visitatori non autenticati di scaricare file diversi da siti Web mirati.

Questo bug viene spesso utilizzato per ottenere il file di configurazione del sito della vittima – wp-config.php che memorizza le credenziali dell'utente per accedere al database. L'obiettivo principale è ottenere possibilità di ingresso estese ea lungo termine sul sito Web compromesso.

Quindi, sfruttando queste tre vulnerabilità di sicurezza, alla fine della giornata, gli aggressori ottengono l'accesso amministrativo completo ai siti Web delle vittime. È importante ricordare che tali vulnerabilità sono già state rese pubbliche e corrette.

Nel caso dell'hacking, i proprietari di siti Web dovrebbero incolpare se stessi di non aver seguito le migliori pratiche di sicurezza e di non aver aggiornato in tempo i plug-in di attacco di WordPress. Sulla base di recenti statistiche, i ricercatori sulla sicurezza ritengono che circa 800.000 siti Web eseguano ancora una versione senza patch di Duplicator.

Ci sono molte ragioni per credere che i tre plugin vulnerabili sopra menzionati non siano gli unici ad essere sfruttati.

Ancora una volta, i proprietari di siti Web dovrebbero ricordare che una volta rilasciato qualsiasi aggiornamento di sicurezza, dovrebbe essere loro priorità installarlo poiché sempre più hacker attaccano i siti Web WordPress, trovando e sfruttando rapidamente tutti i difetti di sicurezza nuovi e vecchi.