Gli aggressori sono stati scoperti nel tentativo di colpire oltre un milione di siti Web WordPress in una campagna durante il fine settimana. La campagna ha tentato senza successo di sfruttare le vecchie vulnerabilità di cross-site scripting (XSS) nei plugin e nei temi di WordPress, con l'obiettivo di raccogliere le credenziali del database.
Gli attacchi miravano a scaricare wp-config.php, un file critico per tutte le installazioni di WordPress. Il file si trova nella radice delle directory dei file di WordPress e contiene le credenziali del database dei siti Web e le informazioni sulla connessione, oltre all'autenticazione di chiavi e API univoci. Scaricando i file di configurazione dei siti, un utente malintenzionato otterrebbe l'accesso al database del sito, dove sono archiviati il contenuto e le credenziali del sito, hanno detto i ricercatori di Wordfence che hanno individuato l'attacco.
Tra il 29 maggio e il 31 maggio, i ricercatori hanno osservato (e sono stati in grado di bloccare) oltre 130 milioni di attacchi contro 1,3 milioni di siti.
"Il picco di questa campagna di attacco si è verificato il 30 maggio 2020", hanno detto i ricercatori di Wordfence mercoledì.
"A questo punto, gli attacchi di questa campagna hanno rappresentato il 75% di tutti i tentativi di exploit di vulnerabilità di plug-in e temi nell'ecosistema WordPress."
I ricercatori hanno collegato l’hacker in questo incidente a un attacco all'inizio di maggio in precedenza mirato a vulnerabilità XSS. Queste campagne precedenti, iniziate il 28 aprile, avevano tentato di iniettare un JavaScript dannoso nei siti Web, che avrebbe quindi reindirizzato i visitatori e sfruttato la sessione di un amministratore per inserire una backdoor nell'intestazione del tema.
"Dopo ulteriori indagini, abbiamo scoperto che questo autore stava attaccando anche altre vulnerabilità, principalmente le vulnerabilità più vecchie, consentendo loro di cambiare l'URL della home di un sito nello stesso dominio utilizzato nel payload XSS al fine di reindirizzare i visitatori verso siti malevoli".
Quella campagna ha inviato attacchi da oltre 20.000 indirizzi IP diversi, hanno detto i ricercatori. Questa campagna più recente utilizza gli stessi indirizzi IP, che hanno rappresentato la maggior parte degli attacchi e dei siti target, portando i ricercatori a collegare le due campagne.
La campagna più recente si è estesa anche al suo targeting, raggiungendo ora quasi un milione di nuovi siti che non erano inclusi nella precedente campagna XSS.
Come per le campagne XSS, quasi tutti gli attacchi sono indirizzati a vulnerabilità più vecchie in plugin o temi obsoleti che consentono il download o l'esportazione dei file.
Le specifiche dell’attacco
Ram Gall, per Wordfence, ha affermato che esiste una vasta gamma di vulnerabilità attaccate in questa campagna, ma non ha dettagliato i CVE specifici.
Nella mia ricerca ho indagato sulle CVE conosciute e ho modo di pensare che, quelle interessate siano le seguenti:
CVE-2.019-11.843 | V3.1: 6.1 MEDIUM V2: 4.3 MEDIUM |
---|---|
CVE-2.020-13.487 | V3.1: 4.8 MEDIUM V2: 3.5 BASSO |
CVE-2.020-11.727 | V3.1: 6.1 MEDIUM V2: 4.3 MEDIUM |
CVE-2020-8799 | V3.1: 4.8 MEDIUM V2: 3.5 BASSO |
CVE-2.020-11.029 | V3.1: 6.1 MEDIUM V2: 4.3 MEDIUM |
CVE-2.020-11.025 | V3.1: 5.4 MEDIUM V2: 3.5 BASSO |
CVE-2.020-12.462 | V3.1: 6.1 MEDIUM V2: 4.3 MEDIUM |
CVE-2.020-12.054 | V3.1: 6.1 MEDIUM V2: 4.3 MEDIUM |
CVE-2.020-12.076 | V3.1: 8.8 ALTA V2: 6.8 MEDIA |
CVE-2.020-11.930 | V3.1: 6.1 MEDIUM V2: 4.3 MEDIUM |
CVE-2.020-11.731 | V3.1: 6.1 MEDIUM V2: 4.3 MEDIUM |
CVE-2.020-11.509 | V3.1: 6.1 MEDIUM V2: 4.3 MEDIUM |
CVE-2.020-11.508 | V3.1: 5.4 MEDIUM V2: 3.5 BASSO |
CVE-2.020-11.516 | V3.1: 5.4 MEDIUM V2: 3.5 BASSO |
CVE-2.020-11.512 | V3.1: 5.4 MEDIUM V2: 3.5 BASSO |
CVE-2.019-17.231 | V3.1: 6.1 MEDIUM V2: 4.3 MEDIUM |
CVE-2.019-17.230 | V3.1: 5.3 MEDIUM V2: 5.0 MEDIUM |
CVE-2020-6753 | V3.1: 6.1 MEDIUM V2: 4.3 MEDIUM |
CVE-2020-5392 | V3.1: 6.1 MEDIUM V2: 4.3 MEDIUM |
CVE-2.020-10.385 | V3.1: 5.4 MEDIUM V2: 3.5 BASSO |
"La maggior parte di queste sono su temi o plugin progettati per consentire il download di file leggendo il contenuto di un file fornito in una stringa di query e servendolo come allegato scaricabile", ha affermato Gall.
La prevenzione e difesa
I ricercatori hanno affermato che i siti Web che potrebbero essere stati compromessi devono modificare immediatamente la password del database e le chiavi e i sali univoci di autenticazione.
"Se il tuo server è configurato per consentire l'accesso al database remoto, un utente malintenzionato con le tue credenziali del database potrebbe facilmente aggiungere un utente amministrativo, estrapolare dati sensibili o eliminare del tutto il tuo sito. Anche se il tuo sito non consente l'accesso remoto al database, un utente malintenzionato che conosce le chiavi di autenticazione del tuo sito potrebbe essere in grado di usarli per bypassare più facilmente altri meccanismi di sicurezza".
I ricercatori hanno anche invitato gli utenti a garantire che i loro plugin siano aggiornati, poiché le vulnerabilità nei plugin e nei temi di WordPress continuano a rappresentare un problema. Alcune settimane fa, ad esempio, i ricercatori hanno rivelato due difetti in Page Builder di SiteOrigin, un plug-in WordPress con un milione di installazioni attive che viene utilizzato per creare siti Web tramite una funzione di trascinamento della selezione. Entrambi i bug di sicurezza possono portare a falsificazioni di richieste tra siti (CSRF) e XSS.
In questa recente campagna, molti dei difetti avevano patch disponibili, ma gli utenti non si erano aggiornati, lasciando i loro siti Web vulnerabili:
“Tuttavia, ti consigliamo di assicurarti che tutti i plugin e i temi siano aggiornati e di condividere queste informazioni con altri proprietari di siti o amministratori che conosci ", hanno detto i ricercatori. "Gli attacchi di questo hacker si stanno evolvendo e continueremo a condividere informazioni aggiuntive non appena saranno disponibili."