200.000 siti con plugin WordPress difettoso esposti ad attacchi di cancellazione
29 Maggio 2020 - Tempo di lettura: 10 minuti
Due vulnerabilità di sicurezza di elevata gravità rilevate nel plug-in PageLayer possono consentire agli autori di attacchi di cancellare i contenuti o assumere il controllo dei siti WordPress utilizzando versioni di plug-in vulnerabili.
PageLayer è un plug-in di WordPress con oltre 200.000 installazioni attive in base ai numeri disponibili nella voce del repository dei plug-in di Wordpress .
Può aiutare gli utenti senza competenze di sviluppatore o designer a creare pagine Web utilizzando un editor in tempo reale di trascinamento della selezione basato su browser.
I bug possono causare attacchi di cancellazione e presa di controllo dei siti
Le vulnerabilità sono state segnalate allo sviluppatore di PageLayer dal team Wordfence Threat Intelligence il 30 aprile e sono state patchate con il rilascio della versione 1.1.2 il 6 maggio.
Secondo Wordfence, gli aggressori possono sfruttare i due difetti di sicurezza per cancellare i siti WordPress che eseguono versioni precedenti senza patch del plug-in, nonché lanciare attacchi di acquisizione.
"Un difetto ha permesso a qualsiasi utente autenticato con autorizzazioni a livello di abbonato e superiori la possibilità di aggiornare e modificare post con contenuti dannosi, tra le altre cose", spiega Wordfence.
"Un secondo difetto ha consentito agli aggressori di creare una richiesta per conto dell'amministratore di un sito per modificare le impostazioni del plug-in che potrebbero consentire l'iniezione JavaScript malevola.
Come ulteriormente dettagliato dai ricercatori, i due bug sono dovuti ad azioni AJAX non protette, divulgazione nonce e mancanza di protezione Cross-Site Request Forgery (CSRF) che consente agli aggressori di iniettare codice JavaScript dannoso, alterare i siti attaccati " pagine, creare account amministrativi non autorizzati, reindirizzare i visitatori a siti dannosi e "sfruttare il browser di un sito per compromettere il loro computer".
Maggiori dettagli riguardanti le due vulnerabilità di PageLayer, il loro impatto e il modo in cui sono stati corretti dal team di sviluppo sono disponibili nel rapporto di Wordfence .
Per difendersi da potenziali attacchi, gli utenti devono aggiornare immediatamente le proprie installazioni di PageLayer alla versione 1.1.2 che risolve i problemi di sicurezza.
Almeno 120K siti sono ancora esposti ad attacchi
Mentre PageLayer 1.1.2 è stato rilasciato il 6 maggio, ha avuto solo poco più di 85.000 nuovi download fino a ieri, 27 maggio, inclusi sia nuove installazioni che aggiornamenti, secondo i dati di download non elaborati nel repository dei plugin di WordPress.
Ciò significa che almeno 120.000 siti WordPress con installazione di PageLayer attiva potrebbero essere esposti a rilevamenti e cancellare gli attacchi nell'eventualità che gli hacker decidano di sfruttare questi bug.
Due settimane fa, il team di ricerca di Wordfence ha anche riscontrato un bug critico nel plug-in WordPress ufficiale di Google con 300.000 installazioni attive che poteva consentire agli aggressori di ottenere l'accesso dei proprietari ai siti vulnerabili di Google Search Console e sfruttarlo per la black hat SEO.
I ricercatori hanno anche scoperto vulnerabilità di scripting tra siti memorizzate (Stored XSS) in molti altri plug -in WordPress tra cui ricerca e sostituzione in tempo reale , Ninja Forms e Contact Form 7 Datepicker con oltre 1.200.000 installazioni attive che potrebbero essere utilizzate per rilevare i siti e creare nuovi amministratori.
