Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
In questi giorni, una vulnerabilità critica nel plugin YITH WooCommerce Gift Cards Premium è sfruttata attivamente dai criminali informatici. Tale plugin è presente in più di 50.000 siti WordPress. Il bug consente agli aggressori di stabilire il pieno controllo su una risorsa vulnerabile.
Il plugin YITH WooCommerce Gift Cards Premium consente agli amministratori del sito di vendere buoni regalo nei loro negozi online. A novembre è stato trovato un bug critico monitorato come CVE-2022-45359 (9,8 punti sulla scala di valutazione della vulnerabilità CVSS). Tale bug consente agli aggressori non autenticati di caricare file su siti vulnerabili (comprese le web shell che forniscono il pieno controllo sulla risorsa).
La vulnerabilità interessa tutte le versioni del plugin fino alla 3.19.0.
La patch è apparsa come parte della versione 3.20.0. Da allora il produttore ha già rilasciato la versione 3.21.0 e ora consiglia vivamente di aggiornarla.
Gli analisti di Wordfence riferiscono che molti siti, purtroppo, stanno ancora utilizzando una versione vulnerabile del plugin. Questo non è sfuggito all’attenzione degli hacker criminali.
Lo sfruttamento del bug è in pieno svolgimento. Gli aggressori sfruttano la vulnerabilità per scaricare backdoor, eseguire codice in modalità remota e impossessarsi di siti Web altrui.
Gli specialisti hanno ricostruito l’exploit utilizzato dagli hacker e scrivono che la radice del problema risiede nella funzione import_actions_from_settings_panel, che è associata all’hook admin_init. Inoltre, questa funzione non esegue CSRF e controlli di depurazione dell’input, il che alla fine consente alle richieste POST a /wp-admin/admin-post.php di caricare eseguibili PHP dannosi sul sito.
Questo viene visualizzato nei registri come richieste POST impreviste da indirizzi IP sconosciuti.
Wordfence ha rilevato che gli aggressori hanno caricato i seguenti file su siti vulnerabili:
Gli analisti scrivono che la maggior parte degli attacchi si è verificata a novembre, prima che gli amministratori avessero il tempo di correggere la vulnerabilità, ma il secondo picco di hack si è verificato il 14 dicembre 2022.
Una delle principali fonti di attacco è stato l’indirizzo IP 103.138.108.15, dal quale sono stati effettuati 19.604 tentativi di hacking su 10.936 siti. È seguito dall’indirizzo IP 188.66.0.135, da cui sono stati effettuati 1220 attacchi contro 928 siti.
Poiché gli attacchi sono ancora in corso, gli esperti raccomandano agli amministratori di aggiornare YITH WooCommerce Gift Cards Premium alla versione 3.21 il prima possibile.
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]