mercoledì 30 maggio 2018

WordPress.com: gli hacker trovano un nuovo modo per installare backdoor sui siti WordPress.Qualche info e come risolvere il problema.


I cyber attaccanti hanno utilizzato un nuovo metodo, mai visto prima, per installare plugin con backdoor sui siti che eseguono il CMS oper source WordPress. L'attacco ha le sue fondamenta in account debolmente protetti e nel plugin Jetpack. Va detto: la tecnica è assai complessa e, per compromettere un sito, necessita di una lunga serie di passaggi durante i quali sono molti gli ostacoli che potrebbero impedire all'attacco di risultare con successo.  Tuttavia questi attacchi sono in corso da giorni, nel dettaglio dal 16 Maggio stando a quanto riferito da Wordfence, la società di sicurezza dei siti di WordPress e da diversi post sui forum ufficiali di WordPress.org: diversi utenti proprietari di siti gestiti con WordPress hanno infatti denunciato dirottamenti dal proprio sito su siti gestiti da ignoti attaccanti. 

Come funziona questo nuovo attacco?
Per prima cosa gli attaccanti sottraggono username e password di account WordPress.com, sia eseguendo brute-force attack contro gli account sia "pescandoli" da quelli emersi da data breach. Ottengono così l'accesso ad account WordPress. Tra gli utenti più vulnerabili a questa "fase uno" ci sono coloro che hanno password deboli, coloro che hanno usato la stessa password per più account e coloro che non hanno abilitato l'autenticazione a due fattori per i propri profili.

Una precisazione prima di continuare
Gli account WordPress.com sono usati per gestire blog a livello professionale su Automattic e sono diversi sia dagli account WordPress.org sia dagli account Admin per siti WordPress self-hosted che si basano sul CMS open source. Mentre il CMS open source WordPress viene gestito dalla community di WordPress stesso, molti sviluppatori di Automattic contribuiscono al progetto open source e hanno grandemente influenzato il CMS stesso. Ecco perché, qualche anno fa, Automattic ha utilizzato il plugin di  web analytics usato su WordPress.com e lo ha poi rilasciato come plugin open source per siti WordPress self-hosted (ovvero ospitati autonomamente).

Il plugin con backdoor via Jetpack
Questo plugin di Web analytics (ma non solo), chiamato appunto Jetpack, è stato ampliato con alcune nuove funzioni e, attualmente, è uno dei plugin più popolari sui siti WordPress.  Una delle funzioni di questo plugin è la capacità di connettere i siti WordPress self-hosted all'account WordPress.com e ad usare il panel di Jetpack entro il Pannello di Gestione di WordPress.com per gestire centinaia di migliaia di siti WordPress self-hosted tramite il plugin Jetpack installato su ogni sito.


Una delle funzioni di Jetpack offre anche la possibilità di installare plugin su diversi siti dal pannello di gestione di Jetpack su WordPress.com. Questo plugin non ha neppure bisogno di essere ospitato o nascosto nel repository ufficiale di WordPress.org: un attaccante può facilmente caricare un .ZIP con il codice dannoso che viene poi inviato a ciascun sito.

Fonte: Bleepingcomputer

Secondo Wordfence, gli attaccanti che hanno preso possesso di account WordPress.com e hanno trovato siti self-hosted collegati a WordPress, hanno abusato proprio di questa funzionalità di gestione remota per distribuire la backdoor su siti precedentemente sicuri. 

L'attacco prosegue da più di una settimana...
I ricercatori di sicurezza affermano che l'attacco è cominciato il 16 Maggio, con la diffusione di un plugin chiamato "pluginsamonsters", il cui nome è poi stato ulteriormente cambiato in "wpsmilepack" il 21 Maggio. Il numero dei siti compromessi non è conosciuto e anche individuare i siti compromessi è altrettanto difficile. 

"Il plugin è visibile sul Pannello di Gestione WordPress.com ma è invisibile nell'elenco dei plugin dei siti WordPress bersaglio, quando attivo" affermano da Wordfence, che ha approfondito il problema. 

Per adesso gli attaccanti stanno usando queste backdoor per un compito solo: reindirizzare gli utenti verso siti di spam e truffe di supporto tecnico. 

Che cosa fare?
Bleeping Computer e Wordfence consigliano ai proprietari di siti self-hosted che hanno connesso il plugin Jetpack con un account WordPress.com a rivedere i plugin che hanno distribuito sui siti self-hosted nel pannello di controllo di WordPress.com. Se si rilevano plugin sospetti è consigliabile la modifica immediata della password dell'account WordPress.com, l'attivazione dell'autenticazione a due fattori e l'avvio delle procedure di pulizia del sito. 

Nessun commento:

Posta un commento