Cover Image

Gli hacker sfruttano attivamente bug gravi in ​​oltre 300.000 siti WordPress

3 Settembre 2020 - Tempo di lettura: 10 minuti

Gli hacker stanno sfruttando attivamente una vulnerabilità critica dell'esecuzione di codice in modalità remota che consente agli aggressori non autenticati di caricare script ed eseguire codice arbitrario su siti WordPress che eseguono versioni vulnerabili del plugin File Manager.

La mattina del 1° settembre, Ville Korhonen, responsabile della sicurezza su chiamata di Seravo, è stata la prima a scoprire il difetto e il fatto che gli autori delle minacce stavano già tentando di sfruttarlo in attacchi progettati per caricare file PHP dannosi su siti Web vulnerabili.

Poche ore dopo che Korhonen ha individuato gli attacchi e segnalato la vulnerabilità allo sviluppatore del plug-in, gli sviluppatori di File Manager hanno corretto il grave difetto con il rilascio delle versioni 6.9.

Il plugin File Manager è attualmente installato su più di 700.000 siti WordPress e la vulnerabilità colpisce tutte le versioni tra 6.0 e 6.8.

450.000 siti già sondati

I ricercatori di Wordfence sono stati anche informati di questo attacco in corso la mattina del 1 settembre dal Gonzalo Cruz di Arsys, che ha fornito loro una prova di concetto funzionante, consentendo loro di esaminare come bloccare gli attacchi.

La società di sicurezza di WordPress ha successivamente affermato che il firewall per applicazioni Web di Wordfence è stato in grado di bloccare oltre 450.000 tentativi di exploit negli ultimi giorni.

Wordfence ha affermato che gli hacker stanno cercando di caricare file PHP con webshell nascosti all'interno di immagini nella cartella wp-content / plugins / wp-file-manager / lib / files /.

Sono stati anche visti prima sondare siti potenzialmente vulnerabili con file vuoti e, solo se l'attacco ha successo, tentare di iniettare gli script dannosi.

NinTechNet, che ha anche segnalato i tentativi di exploit, ha affermato che gli aggressori stanno tentando di caricare uno script hardfork.php dannoso che consente loro di iniettare codice dannoso all'interno dei siti WordPress '/wp-admin/admin-ajax.php e / wp-includes / script user.php.

Ciò che rende gli attacchi ancora più interessanti è che gli hacker cercheranno anche di impedire immediatamente ad altri di compromettere un sito già infetto proteggendo con password i file esposti alla scrittura dalla vulnerabilità del File Manager.

Oltre 300.000 siti sono ancora vulnerabili agli attacchi

"Un plug-in di file manager come questo consentirebbe a un utente malintenzionato di manipolare o caricare qualsiasi file di sua scelta direttamente dalla dashboard di WordPress, consentendo potenzialmente loro di aumentare i privilegi una volta nell'area di amministrazione del sito", Chloe Chamberland, spiega il Direttore delle informazioni di Wordfence.

"Ad esempio, un utente malintenzionato potrebbe ottenere l'accesso all'area di amministrazione del sito utilizzando una password compromessa, quindi accedere a questo plug-in e caricare una webshell per eseguire un'ulteriore enumerazione del server e potenzialmente intensificare il proprio attacco utilizzando un altro exploit."

Il team di sviluppo di File Manager ha affrontato la vulnerabilità critica attivamente sfruttata ieri mattina con il rilascio di File Manager 6.9.

Tuttavia, il plug-in è stato scaricato solo poco più di 126.000 volte, inclusi aggiornamenti e nuove installazioni, negli ultimi due giorni sulla base dei dati storici di download disponibili sul portale dei plug-in di WordPress, lasciando 574.000 siti WordPress potenzialmente esposti.

Fortunatamente, solo il 51,5% di tutti i siti con l'installazione di plug-in File Manager attiva (pari a più di 300.000 siti Web) utilizza una versione vulnerabile che potrebbe consentire agli aggressori di eseguire codice arbitrario dopo lo sfruttamento riuscito.

Si consiglia agli utenti di File Manager di aggiornare immediatamente il plug-in alla versione 6.9 il prima possibile per bloccare gli attacchi in corso.

intopic.it