200.000 siti con plugin WordPress difettoso esposti ad attacchi di cancellazione

200.000 siti con plugin WordPress difettoso esposti ad attacchi di cancellazione

Due vulnerabilità di sicurezza di elevata gravità rilevate nel plug-in PageLayer possono consentire agli autori di attacchi di cancellare i contenuti o assumere il controllo dei siti WordPress utilizzando versioni di plug-in vulnerabili.

PageLayer è un plug-in di WordPress con oltre 200.000 installazioni attive in base ai numeri disponibili nella voce del repository dei plug-in di Wordpress .

Può aiutare gli utenti senza competenze di sviluppatore o designer a creare pagine Web utilizzando un editor in tempo reale di trascinamento della selezione basato su browser.

I bug possono causare attacchi di cancellazione e presa di controllo dei siti

Le vulnerabilità sono state segnalate allo sviluppatore di PageLayer dal team Wordfence Threat Intelligence il 30 aprile e sono state patchate con il rilascio della versione 1.1.2 il 6 maggio.

Secondo Wordfence, gli aggressori possono sfruttare i due difetti di sicurezza per cancellare i siti WordPress che eseguono versioni precedenti senza patch del plug-in, nonché lanciare attacchi di acquisizione.

"Un difetto ha permesso a qualsiasi utente autenticato con autorizzazioni a livello di abbonato e superiori la possibilità di aggiornare e modificare post con contenuti dannosi, tra le altre cose", spiega Wordfence.

"Un secondo difetto ha consentito agli aggressori di creare una richiesta per conto dell'amministratore di un sito per modificare le impostazioni del plug-in che potrebbero consentire l'iniezione JavaScript malevola.
Come ulteriormente dettagliato dai ricercatori, i due bug sono dovuti ad azioni AJAX non protette, divulgazione nonce e mancanza di protezione Cross-Site Request Forgery (CSRF) che consente agli aggressori di iniettare codice JavaScript dannoso, alterare i siti attaccati " pagine, creare account amministrativi non autorizzati, reindirizzare i visitatori a siti dannosi e "sfruttare il browser di un sito per compromettere il loro computer".

Maggiori dettagli riguardanti le due vulnerabilità di PageLayer, il loro impatto e il modo in cui sono stati corretti dal team di sviluppo sono disponibili nel rapporto di Wordfence .

Per difendersi da potenziali attacchi, gli utenti devono aggiornare immediatamente le proprie installazioni di PageLayer alla versione 1.1.2 che risolve i problemi di sicurezza. 

Almeno 120K siti sono ancora esposti ad attacchi

Mentre PageLayer 1.1.2 è stato rilasciato il 6 maggio, ha avuto solo poco più di 85.000 nuovi download fino a ieri, 27 maggio, inclusi sia nuove installazioni che aggiornamenti, secondo i dati di download non elaborati nel repository dei plugin di WordPress.
Ciò significa che almeno 120.000 siti WordPress con installazione di PageLayer attiva potrebbero essere esposti a rilevamenti e cancellare gli attacchi nell'eventualità che gli hacker decidano di sfruttare questi bug.

Due settimane fa, il team di ricerca di Wordfence ha anche riscontrato un bug critico nel plug-in WordPress ufficiale di Google con 300.000 installazioni attive che poteva consentire agli aggressori di ottenere l'accesso dei proprietari ai siti vulnerabili di Google Search Console e sfruttarlo per la black hat SEO.

I ricercatori hanno anche scoperto vulnerabilità di scripting tra siti memorizzate (Stored XSS) in molti altri plug -in WordPress tra cui  ricerca e sostituzione in tempo reale , Ninja Forms e  Contact Form 7 Datepicker  con oltre 1.200.000 installazioni attive che potrebbero essere utilizzate per rilevare i siti e creare nuovi amministratori.

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.