La vicenda è stata segnalata da moltissimi utenti e attraverso una serie di report sui forum ufficiali di WordPress: cyber attaccanti stanno sfruttando un bug presente in un plugin, piuttosto diffuso, per la compliance al GDPR. Il plugin in questione si chiama WP GDPR Compliance ed è un componente aggiuntivo che dovrebbe aiutare gli admin dei siti Internet a rispettare le norme che il nuovo Regolamento Europeo prevede in difesa della privacy e dei dati. Il problema è che questo plugin ha dei bug sfruttando i quali è possibile modificare le impostazioni del sito da remoto fino a prenderne il controllo.
WordFence ha pubblicato un apposito report su questa problematica nel quale si specifica che le vulnerabilità sfruttate dai cyber criminali in questi giorni sono in realtà due: se sfruttate con successo concedono di creare un account amministratore o installare backdoor sui siti dove è presente il plugin in questione.
Il primo exploit: creare l'account admin
Diverse ore dopo la creazione del nuovo utente, l'attaccante esegue il login nel nuovo account admin e inizia l'installazione di una ulteriore backdoor. Nel caso in esame da parte di WordFence, gli attaccanti hanno caricato una robusta webshell PHP nel file wp-cache.php. L'immagine sotto è uno screenshot dell'interfaccia utente.
Va detto che, ottenuto un tale livello di accesso al sito, nulla può impedire all'attaccante di installare ulteriori malware.
Il secondo exploit: installare la backdoor
Il secondo exploit è ben più difficile da identificare. Gli attaccanti in questo caso stanno installando backdoor inserendo azioni dannose nella pianificazione WP-cron del sito bersaglio: la backdoor installata è persistente, dato che si auto-sostituisce nel caso venga rimossa. In questo caso però viene sfruttato il popolare plugin di Wordpress WooCommerce.
Il plugin WP GDPR Compliance
Il plugin è stato, in un primo momento, rimosso dalle pagine ufficiali di WordPress, ma è stato in seguito ripristinato: la versione rilasciata dopo qualche giorno è una versione aggiornata (1.4.3) che risolve i bug di cui sopra. Il problema è che sono ancora oltissimi i siti che utilizzano la versione vulnerabile del plugin e anche i tempi necessair al ricambio paiono incerti. Stiamo parlando di un plugin che risulta installato in più di 100.000 siti WordPress: inutile dire quanto sia importante procedere all'aggiornamento del plugin per non trovarsi esposti alle conseguenze di questo attacco.
Indicatori di compromissione
Esistono una serie di IOC (Indicatori di compromissione) la cui presenza segnala e aiuta a identificare casi simili. Eccoli:
- Indirizzi IP più usati nell'attacco per la creazione dell'admin
- 109.234.39.250
- 109.234.37.214
- Domini in uscita ai quali si registrano accessi
- pornmam.com
- Indicatori del database
- la presenza di account non autorizzati nella tabella account del tuo sito. Due esempi:
- t2trollherten
- t3trollherten - una voce nella tabella delle opzioni con il cui nome è (o è simile a) 2mb_autocode
Nessun commento:
Posta un commento