WPScan ha rilevato una campagna di attacchi che sfrutta un errore nel plugin WP-Automatic per creare account amministrativi e prendere il controllo dei siti WordPress.
WP-Automatic è un plugin WordPress che consente di importare contenuti da vari siti web e fonti come feed RSS, social media, articoli, video, immagini e altro. Il plugin ha più di 30.000 installazioni attive e offre diverse funzionalità per personalizzare e automatizzare la creazione di contenuti.
Tuttavia, il plugin ha anche una grave vulnerabilità che mette a rischio la sicurezza dei siti WordPress che lo utilizzano. Si tratta di una SQL injection (SQLi), ovvero un tipo di attacco che sfrutta la mancata validazione dei dati in ingresso per eseguire query SQL arbitrarie al database del sito web. Questo può portare a vari scenari dannosi, come il furto di dati sensibili, la modifica o la cancellazione di dati, la creazione di account utente con privilegi elevati, l’esecuzione di codice arbitrario e il compromesso totale del sito web.
 Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La vulnerabilità in questione, identificata come CVE-2024-27956, è stata scoperta da Patchstack, una piattaforma di sicurezza per WordPress, e ha ricevuto un punteggio CVSS di 9,9 su un massimo di 10, indicando un livello di gravità molto alto. La vulnerabilità riguarda tutte le versioni del plugin fino alla 3.9.2.0, che è stata rilasciata il 15 marzo 2024 per correggere il problema. Gli utenti di WP-Automatic sono fortemente invitati ad aggiornare il plugin alla versione più recente per evitare di essere vittime di attacchi.
WPScan, una società di sicurezza specializzata in WordPress, ha recentemente segnalato l’inizio di un’attiva campagna di attacchi che sfrutta la vulnerabilità di WP-Automatic per creare account amministrativi controllati e prendere il controllo dei siti WordPress vulnerabili. WPScan ha rilevato più di 100.000 tentativi di attacco in una sola settimana, provenienti da diversi indirizzi IP.
L’attacco funziona in questo modo: gli aggressori inviano una richiesta HTTP POST al file /wp-content/plugins/wp-automatic/inc/csv.php, che è responsabile dell’importazione dei dati da file CSV. La richiesta contiene un parametro chiamato “user” che contiene una query SQL arbitraria, che viene eseguita dal file senza alcuna validazione.
La query SQL permette agli aggressori di creare un nuovo account utente con privilegi di amministratore, fornendo un nome utente, una password e un indirizzo email a loro scelta. Una volta creato l’account, gli aggressori possono accedere al pannello di amministrazione del sito WordPress e installare plugin di caricamento file o modificare il codice per eseguire azioni dannose.
Dopo aver violato un sito WordPress, gli aggressori assicurano la persistenza creando backdoor e offuscando il codice. Per evitare il rilevamento, gli aggressori rinominano il file vulnerabile di WP-Automatic (da /wp-content/plugins/wp-automatic/inc/csv.php a wp-content/plugins/wp-automatic/inc/csv65f82ab408b3.php), anche per bloccare gli attacchi da parte di altri aggressori. In questo modo, gli aggressori possono mantenere l’accesso al sito WordPress anche se il plugin viene aggiornato o disinstallato.
Le conseguenze di un attacco di questo tipo possono essere devastanti per i proprietari dei siti WordPress, che possono perdere la fiducia dei loro utenti, subire danni alla reputazione, incorrere in sanzioni legali o finanziarie, o essere vittime di ulteriori attacchi, come il ransomware, il phishing o il defacement.
Da allora, sono stati rilevati oltre 5,5 milioni di tentativi di attacco volti a sfruttare questa vulnerabilità. Ulteriori dettagli tecnici sulla vulnerabilità del plugin WP-Automatic rivelano che il plugin, attualmente installato su oltre 30.000 siti web, consente agli amministratori di automatizzare l’importazione di contenuti (ad esempio, testo, immagini, video) da varie fonti online e la pubblicazione sul loro sito WordPress.
Dopo aver ottenuto l’accesso da amministratore al sito web di destinazione, gli aggressori creano backdoor e offuscano il codice per renderlo più difficile da trovare. Per prevenire altri attacchi da parte di altri aggressori e per evitare il rilevamento, gli aggressori rinominano anche il file vulnerabile “csv.php”. Una volta ottenuto il controllo del sito web, l’attore della minaccia spesso installa ulteriori plugin che consentono il caricamento di file e la modifica del codice.
Gli amministratori possono verificare la presenza di un account amministratore che inizia con “xtw” e di file denominati web.php e index.php, che sono le backdoor piantate nella recente campagna. Per mitigare il rischio di violazione, i ricercatori raccomandano agli amministratori dei siti WordPress di aggiornare il plugin WP Automatic alla versione 3.92.1 o successiva. WPScan raccomanda inoltre ai proprietari dei siti web di creare frequentemente backup del loro sito in modo da poter installare rapidamente copie pulite in caso di compromissione.
La prima e più importante misura di protezione è aggiornare il plugin WP-Automatic alla versione più recente, che corregge la vulnerabilità. Gli utenti possono verificare la versione del plugin dal pannello di amministrazione di WordPress, sotto la sezione Plugin. Se il plugin non è aggiornato, è necessario farlo il prima possibile, cliccando sul pulsante Aggiorna ora.
Inoltre, è consigliabile seguire alcune buone pratiche di sicurezza per WordPress, come:
WP-Automatic è un plugin WordPress che può facilitare la creazione di contenuti, ma che presenta una grave vulnerabilità SQLi che espone i siti web a possibili attacchi. Gli utenti di questo plugin devono aggiornarlo al più presto per prevenire la compromissione dei loro siti.
Inoltre, devono seguire le raccomandazioni di sicurezza per WordPress e monitorare il loro sito per eventuali segni di intrusione. La sicurezza dei siti WordPress dipende in gran parte dalla responsabilità degli utenti e dalla qualità dei plugin che installano. È quindi fondamentale scegliere plugin affidabili e mantenere il proprio sito al passo con le ultime novità in materia di sicurezza.
Ti è piaciutno questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Diritti
Hacking
Cyber Italia
Cyberpolitica
Cybercrime