Sandro Sana : 28 Aprile 2024 09:09
WPScan ha rilevato una campagna di attacchi che sfrutta un errore nel plugin WP-Automatic per creare account amministrativi e prendere il controllo dei siti WordPress.
WP-Automatic è un plugin WordPress che consente di importare contenuti da vari siti web e fonti come feed RSS, social media, articoli, video, immagini e altro. Il plugin ha più di 30.000 installazioni attive e offre diverse funzionalità per personalizzare e automatizzare la creazione di contenuti.
Tuttavia, il plugin ha anche una grave vulnerabilità che mette a rischio la sicurezza dei siti WordPress che lo utilizzano. Si tratta di una SQL injection (SQLi), ovvero un tipo di attacco che sfrutta la mancata validazione dei dati in ingresso per eseguire query SQL arbitrarie al database del sito web. Questo può portare a vari scenari dannosi, come il furto di dati sensibili, la modifica o la cancellazione di dati, la creazione di account utente con privilegi elevati, l’esecuzione di codice arbitrario e il compromesso totale del sito web.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
La vulnerabilità in questione, identificata come CVE-2024-27956, è stata scoperta da Patchstack, una piattaforma di sicurezza per WordPress, e ha ricevuto un punteggio CVSS di 9,9 su un massimo di 10, indicando un livello di gravità molto alto. La vulnerabilità riguarda tutte le versioni del plugin fino alla 3.9.2.0, che è stata rilasciata il 15 marzo 2024 per correggere il problema. Gli utenti di WP-Automatic sono fortemente invitati ad aggiornare il plugin alla versione più recente per evitare di essere vittime di attacchi.
WPScan, una società di sicurezza specializzata in WordPress, ha recentemente segnalato l’inizio di un’attiva campagna di attacchi che sfrutta la vulnerabilità di WP-Automatic per creare account amministrativi controllati e prendere il controllo dei siti WordPress vulnerabili. WPScan ha rilevato più di 100.000 tentativi di attacco in una sola settimana, provenienti da diversi indirizzi IP.
L’attacco funziona in questo modo: gli aggressori inviano una richiesta HTTP POST al file /wp-content/plugins/wp-automatic/inc/csv.php, che è responsabile dell’importazione dei dati da file CSV. La richiesta contiene un parametro chiamato “user” che contiene una query SQL arbitraria, che viene eseguita dal file senza alcuna validazione.
La query SQL permette agli aggressori di creare un nuovo account utente con privilegi di amministratore, fornendo un nome utente, una password e un indirizzo email a loro scelta. Una volta creato l’account, gli aggressori possono accedere al pannello di amministrazione del sito WordPress e installare plugin di caricamento file o modificare il codice per eseguire azioni dannose.
Dopo aver violato un sito WordPress, gli aggressori assicurano la persistenza creando backdoor e offuscando il codice. Per evitare il rilevamento, gli aggressori rinominano il file vulnerabile di WP-Automatic (da /wp-content/plugins/wp-automatic/inc/csv.php a wp-content/plugins/wp-automatic/inc/csv65f82ab408b3.php), anche per bloccare gli attacchi da parte di altri aggressori. In questo modo, gli aggressori possono mantenere l’accesso al sito WordPress anche se il plugin viene aggiornato o disinstallato.
Le conseguenze di un attacco di questo tipo possono essere devastanti per i proprietari dei siti WordPress, che possono perdere la fiducia dei loro utenti, subire danni alla reputazione, incorrere in sanzioni legali o finanziarie, o essere vittime di ulteriori attacchi, come il ransomware, il phishing o il defacement.
Da allora, sono stati rilevati oltre 5,5 milioni di tentativi di attacco volti a sfruttare questa vulnerabilità. Ulteriori dettagli tecnici sulla vulnerabilità del plugin WP-Automatic rivelano che il plugin, attualmente installato su oltre 30.000 siti web, consente agli amministratori di automatizzare l’importazione di contenuti (ad esempio, testo, immagini, video) da varie fonti online e la pubblicazione sul loro sito WordPress.
Dopo aver ottenuto l’accesso da amministratore al sito web di destinazione, gli aggressori creano backdoor e offuscano il codice per renderlo più difficile da trovare. Per prevenire altri attacchi da parte di altri aggressori e per evitare il rilevamento, gli aggressori rinominano anche il file vulnerabile “csv.php”. Una volta ottenuto il controllo del sito web, l’attore della minaccia spesso installa ulteriori plugin che consentono il caricamento di file e la modifica del codice.
Gli amministratori possono verificare la presenza di un account amministratore che inizia con “xtw” e di file denominati web.php e index.php, che sono le backdoor piantate nella recente campagna. Per mitigare il rischio di violazione, i ricercatori raccomandano agli amministratori dei siti WordPress di aggiornare il plugin WP Automatic alla versione 3.92.1 o successiva. WPScan raccomanda inoltre ai proprietari dei siti web di creare frequentemente backup del loro sito in modo da poter installare rapidamente copie pulite in caso di compromissione.
La prima e più importante misura di protezione è aggiornare il plugin WP-Automatic alla versione più recente, che corregge la vulnerabilità. Gli utenti possono verificare la versione del plugin dal pannello di amministrazione di WordPress, sotto la sezione Plugin. Se il plugin non è aggiornato, è necessario farlo il prima possibile, cliccando sul pulsante Aggiorna ora.
Inoltre, è consigliabile seguire alcune buone pratiche di sicurezza per WordPress, come:
WP-Automatic è un plugin WordPress che può facilitare la creazione di contenuti, ma che presenta una grave vulnerabilità SQLi che espone i siti web a possibili attacchi. Gli utenti di questo plugin devono aggiornarlo al più presto per prevenire la compromissione dei loro siti.
Inoltre, devono seguire le raccomandazioni di sicurezza per WordPress e monitorare il loro sito per eventuali segni di intrusione. La sicurezza dei siti WordPress dipende in gran parte dalla responsabilità degli utenti e dalla qualità dei plugin che installano. È quindi fondamentale scegliere plugin affidabili e mantenere il proprio sito al passo con le ultime novità in materia di sicurezza.
Sandro Sana“Combattere il cybercrime è come estirpare le erbacce: se non elimini le radici a fondo, queste ricresceranno” e oggi, più che mai, questa verità si conferma ess...
Immagina di aprire, come ogni sera, il bookmark del tuo forum preferito per scovare nuove varianti di stealer o l’ennesimo pacchetto di credenziali fresche di breach. Invece della solita bachec...
Il 22 luglio 2025, Mozilla ha rilasciato Firefox 141, un aggiornamento volto a migliorare la sicurezza del browser. Nell’ambito del Bollettino MFSA 2025-56, sono state risolte 18 vulnerabilit&#...
