Gli hacker stanno combattendo una guerra su 300.000 siti WordPress vulnerabili
11 Settembre 2020 - Tempo di lettura: 10 minuti
Gli aggressori che stanno sfruttando attivamente un difetto critico di esecuzione di codice in modalità remota che colpisce oltre 600.000 siti WordPress che eseguono versioni vulnerabili di plugin File Manager sono stati anche visti proteggere i siti che compromettono dagli attacchi di altri attori delle minacce.
La vulnerabilità critica consente agli aggressori non autenticati di caricare file PHP dannosi ed eseguire codice arbitrario dopo lo sfruttamento riuscito [ 1 , 2 , 3 ]. Il team di sviluppo di File Manager ha risolto il problema con il rilascio di File Manager 6.9.
Anche se il difetto è stato corretto poche ore dopo che gli sviluppatori sono stati informati dal responsabile della sicurezza su chiamata di Seravo Ville Korhonen, che ha scoperto il difetto zero-day e gli attacchi in corso che cercavano di sfruttarlo, i ricercatori della società di sicurezza di WordPress Defiant hanno individuato più di 1,7 milioni di siti essere indagato dagli attori della minaccia tra il 1 e il 3 settembre.
In un rapporto aggiornato pubblicato oggi, l'analista delle minacce di Defiant Ram Gall afferma che gli autori delle minacce non hanno interrotto il loro assedio, con il numero totale di siti WordPress presi di mira che sale a 2,6 milioni.
Il team di sviluppo di File Manager ha affrontato la vulnerabilità critica attivamente sfruttata con il rilascio di File Manager 6.9
Attacchi in corso
Secondo Defiant, più autori di minacce stanno attualmente prendendo di mira questa vulnerabilità su siti che eseguono versioni vulnerabili del plug-in File Manager, ma due di loro hanno avuto il maggior successo nell'implementazione di malware su siti vulnerabili.
Uno di questi è bajatax , un attore di minacce marocchino precedentemente noto per avere un debole per il furto delle credenziali degli utenti dai siti Web di e-commerce di PrestaShop.
Una volta che riesce a compromettere un sito WordPress come parte degli attacchi in corso, bajatax inietta codice dannoso che raccoglie ed esfiltra le credenziali dell'utente tramite Telegram su qualsiasi tentativo di accesso, per poi essere venduto al miglior offerente.
L'altro inietta una backdoor in una cartella randomizzata e nella webroot del sito, entrambi camuffati come file .ico, per ridurre le possibilità che l'amministratore del sito li trovi entrambi e interrompa l'accesso dell'attore della minaccia al sito web.
Come spiega Gall, l'infettore PHP utilizzato da questo secondo aggressore è una variante di un'infezione precedentemente utilizzata per distribuire cryptominer ed eseguire campagne di spam SEO tramite siti compromessi.
Combattere per il controllo
Entrambi sono stati visti da Defiant mentre cercava di bloccare i tentativi di exploit di altri aggressori proteggendo con password il file sfruttabile connector.minimal.php sui siti che hanno infettato.
"Il nostro team di pulizia dei siti ha ripulito una serie di siti compromessi da questa vulnerabilità e, in molti casi, è presente malware proveniente da più autori di minacce", spiega Gal.
"I suddetti attori delle minacce sono stati di gran lunga i più riusciti grazie ai loro sforzi per bloccare altri aggressori e stanno utilizzando collettivamente diverse migliaia di indirizzi IP nei loro attacchi".
NinTechNet, che ha anche segnalato i tentativi di exploit all'inizio degli attacchi, ha anche scoperto i tentativi degli aggressori di impedire ad altri di compromettere il sito già infetto proteggendo con password i file esposti alla scrittura dalla falla del File Manager.
.jpg)
In tutto, i ricercatori di Defiant hanno visto attacchi che tentavano di sfruttare questa vulnerabilità originata da oltre 370.000 indirizzi IP separati, quasi senza sovrapposizioni nell'attività di accesso backdoor.
"L'unica eccezione è l'IP 51.83.216.204, che sembra essere una terza parte che controlla opportunisticamente la presenza di entrambe queste backdoor e poi tenta di aggiungerne una propria, senza molto successo", ha aggiunto Gal.
