Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Sandro Sana : 28 Aprile 2024 09:09
WPScan ha rilevato una campagna di attacchi che sfrutta un errore nel plugin WP-Automatic per creare account amministrativi e prendere il controllo dei siti WordPress.
WP-Automatic è un plugin WordPress che consente di importare contenuti da vari siti web e fonti come feed RSS, social media, articoli, video, immagini e altro. Il plugin ha più di 30.000 installazioni attive e offre diverse funzionalità per personalizzare e automatizzare la creazione di contenuti.
Tuttavia, il plugin ha anche una grave vulnerabilità che mette a rischio la sicurezza dei siti WordPress che lo utilizzano. Si tratta di una SQL injection (SQLi), ovvero un tipo di attacco che sfrutta la mancata validazione dei dati in ingresso per eseguire query SQL arbitrarie al database del sito web. Questo può portare a vari scenari dannosi, come il furto di dati sensibili, la modifica o la cancellazione di dati, la creazione di account utente con privilegi elevati, l’esecuzione di codice arbitrario e il compromesso totale del sito web.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La vulnerabilità in questione, identificata come CVE-2024-27956, è stata scoperta da Patchstack, una piattaforma di sicurezza per WordPress, e ha ricevuto un punteggio CVSS di 9,9 su un massimo di 10, indicando un livello di gravità molto alto. La vulnerabilità riguarda tutte le versioni del plugin fino alla 3.9.2.0, che è stata rilasciata il 15 marzo 2024 per correggere il problema. Gli utenti di WP-Automatic sono fortemente invitati ad aggiornare il plugin alla versione più recente per evitare di essere vittime di attacchi.
WPScan, una società di sicurezza specializzata in WordPress, ha recentemente segnalato l’inizio di un’attiva campagna di attacchi che sfrutta la vulnerabilità di WP-Automatic per creare account amministrativi controllati e prendere il controllo dei siti WordPress vulnerabili. WPScan ha rilevato più di 100.000 tentativi di attacco in una sola settimana, provenienti da diversi indirizzi IP.
L’attacco funziona in questo modo: gli aggressori inviano una richiesta HTTP POST al file /wp-content/plugins/wp-automatic/inc/csv.php, che è responsabile dell’importazione dei dati da file CSV. La richiesta contiene un parametro chiamato “user” che contiene una query SQL arbitraria, che viene eseguita dal file senza alcuna validazione.
La query SQL permette agli aggressori di creare un nuovo account utente con privilegi di amministratore, fornendo un nome utente, una password e un indirizzo email a loro scelta. Una volta creato l’account, gli aggressori possono accedere al pannello di amministrazione del sito WordPress e installare plugin di caricamento file o modificare il codice per eseguire azioni dannose.
Dopo aver violato un sito WordPress, gli aggressori assicurano la persistenza creando backdoor e offuscando il codice. Per evitare il rilevamento, gli aggressori rinominano il file vulnerabile di WP-Automatic (da /wp-content/plugins/wp-automatic/inc/csv.php a wp-content/plugins/wp-automatic/inc/csv65f82ab408b3.php), anche per bloccare gli attacchi da parte di altri aggressori. In questo modo, gli aggressori possono mantenere l’accesso al sito WordPress anche se il plugin viene aggiornato o disinstallato.
Le conseguenze di un attacco di questo tipo possono essere devastanti per i proprietari dei siti WordPress, che possono perdere la fiducia dei loro utenti, subire danni alla reputazione, incorrere in sanzioni legali o finanziarie, o essere vittime di ulteriori attacchi, come il ransomware, il phishing o il defacement.
Da allora, sono stati rilevati oltre 5,5 milioni di tentativi di attacco volti a sfruttare questa vulnerabilità. Ulteriori dettagli tecnici sulla vulnerabilità del plugin WP-Automatic rivelano che il plugin, attualmente installato su oltre 30.000 siti web, consente agli amministratori di automatizzare l’importazione di contenuti (ad esempio, testo, immagini, video) da varie fonti online e la pubblicazione sul loro sito WordPress.
Dopo aver ottenuto l’accesso da amministratore al sito web di destinazione, gli aggressori creano backdoor e offuscano il codice per renderlo più difficile da trovare. Per prevenire altri attacchi da parte di altri aggressori e per evitare il rilevamento, gli aggressori rinominano anche il file vulnerabile “csv.php”. Una volta ottenuto il controllo del sito web, l’attore della minaccia spesso installa ulteriori plugin che consentono il caricamento di file e la modifica del codice.
Gli amministratori possono verificare la presenza di un account amministratore che inizia con “xtw” e di file denominati web.php e index.php, che sono le backdoor piantate nella recente campagna. Per mitigare il rischio di violazione, i ricercatori raccomandano agli amministratori dei siti WordPress di aggiornare il plugin WP Automatic alla versione 3.92.1 o successiva. WPScan raccomanda inoltre ai proprietari dei siti web di creare frequentemente backup del loro sito in modo da poter installare rapidamente copie pulite in caso di compromissione.
La prima e più importante misura di protezione è aggiornare il plugin WP-Automatic alla versione più recente, che corregge la vulnerabilità. Gli utenti possono verificare la versione del plugin dal pannello di amministrazione di WordPress, sotto la sezione Plugin. Se il plugin non è aggiornato, è necessario farlo il prima possibile, cliccando sul pulsante Aggiorna ora.
Inoltre, è consigliabile seguire alcune buone pratiche di sicurezza per WordPress, come:
WP-Automatic è un plugin WordPress che può facilitare la creazione di contenuti, ma che presenta una grave vulnerabilità SQLi che espone i siti web a possibili attacchi. Gli utenti di questo plugin devono aggiornarlo al più presto per prevenire la compromissione dei loro siti.
Inoltre, devono seguire le raccomandazioni di sicurezza per WordPress e monitorare il loro sito per eventuali segni di intrusione. La sicurezza dei siti WordPress dipende in gran parte dalla responsabilità degli utenti e dalla qualità dei plugin che installano. È quindi fondamentale scegliere plugin affidabili e mantenere il proprio sito al passo con le ultime novità in materia di sicurezza.
Sandro SanaA seguito della scoperta di exploit attivi, la Cybersecurity and Infrastructure Security Agency (CISA) ha inserito due vulnerabilità critiche al catalogo Known Exploited Vulnerabilities (KEV) dell’...
Una vulnerabilità zero-day nel driver Windows Cloud Files Mini Filter (cldflt.sys) è attualmente oggetto di sfruttamento attivo. Microsoft ha provveduto al rilascio di aggiornamenti di sicurezza urg...
Una vulnerabilità critica, monitorata con il codice CVE-2025-59719, riguarda le linee di prodotti FortiOS, FortiWeb, FortiProxy e FortiSwitchManager è stata segnalata da Fortinet tramite un avviso d...
Secondo un rapporto pubblicato di recente dal Financial Crimes Enforcement Network (FinCEN), l’attività globale del ransomware ha raggiunto il picco nel 2023, per poi crollare nel 2024. Questo calo...
Siamo connessi, connessi a tutto, iperconnessi. La nostra vita professionale e sociale è scandita da deadline strettissime e da un’asticella che viene continuamente alzata, dobbiamo spingere. Ci im...
