Script dannosi e backdoor prendono di mira i difetti critici dei plugin WordPress
Una nuova ondata di attacchi informatici sta sfruttando le vulnerabilità di tre plugin WordPress ampiamente utilizzati, iniettando script dannosi e backdoor nei siti web, avverte Fastly. Queste falle critiche consentono agli aggressori di eseguire attacchi XSS (stored cross-site scripting) non autenticati, facilitando la creazione di account amministratore di WordPress non autorizzati, l’inserimento di backdoor PHP nei file di plugin e temi e l’impostazione di script di tracciamento per monitorare i siti compromessi.
Fastly ha osservato un numero significativo di tentativi di sfruttamento provenienti da IP collegati all'Autonomous System (AS) IP Volume Inc. I plugin interessati includono WP Statistics, WP Meta SEO e LiteSpeed Cache, che interessano milioni di installazioni attive.
Sommario
Vulnerabilità delle statistiche WP: CVE-2024-2194
La prima vulnerabilità colpisce il plugin WP Statistics, che vanta oltre 600.000 installazioni attive. Classificato come CVE-2024-2194, questo difetto consente agli aggressori di iniettare script tramite il parametro di ricerca URL. Divulgato a marzo, influisce sulle versioni 14.5 e precedenti. Gli script iniettati vengono eseguiti ogni volta che un utente accede a una pagina infetta, con gli aggressori che aggiungono il parametro "utm_id" alle richieste per garantire che il payload appaia sulle pagine più visitate.
Vulnerabilità WP Meta SEO: CVE-2023-6961
La seconda vulnerabilità, CVE-2023-6961, colpisce il plugin WP Meta SEO, con oltre 20.000 installazioni attive. Questo bug consente agli aggressori di iniettare un payload nelle pagine generando una risposta 404. Quando un amministratore carica una pagina di questo tipo, lo script recupera il codice JavaScript offuscato da un server remoto. Se l'amministratore è autenticato, il payload può rubare le sue credenziali.
Vulnerabilità della cache LiteSpeed: CVE-2023-40000
La terza vulnerabilità, CVE-2023-40000, prende di mira il plugin LiteSpeed Cache, che ha oltre 5 milioni di installazioni attive. Gli aggressori mascherano il payload XSS come una notifica dell'amministratore, attivando lo script all'accesso di un amministratore a una pagina di backend. Ciò consente l'esecuzione dello script utilizzando le credenziali dell'amministratore per successive azioni dannose.
L'indagine di Fastly ha identificato cinque domini a cui fanno riferimento i payload dannosi, insieme a due domini aggiuntivi utilizzati per il monitoraggio, almeno uno dei quali è stato precedentemente associato allo sfruttamento dei plugin vulnerabili di WordPress. Si consiglia agli amministratori dei siti Web che utilizzano i plug-in interessati di aggiornarli immediatamente alle versioni più recenti e di monitorare i propri siti per eventuali attività sospette.