Punti chiave
Due aziende di cyber-sicurezza hanno rilevato attacchi hacker contro WordPress, attraverso una vulnerabilità zero-day che si trova in un plugin molto popolare.
Almeno due gruppi di hacker stanno sfruttando la falla per modificare le impostazioni del sito e creare account di admin da utilizzare come backdoor.
Il bug in WordPress: il plugin SMTP è vulnerabile
Il bug sfruttato da questi due gruppi risiede in “Easy WP SMTP,” un plugin per WordPress con oltre 300.000 installazioni attive. La caratteristica principale del plugin è quella di consentire ai proprietari del sito di configurare le impostazioni SMTP delle e-mail in uscita del loro server.
Il problema è stato segnalato all’autore del plugin, che ha corretto lo zero-day con il rilascio della nuova versione del plugin 1.3.9.1.
Gli attacchi tuttavia non si sono fermati ma sono proseguiti per tutta la settimana: gli hacker cercano di prendere in ostaggio il maggior numero di siti che possono prima che i proprietari riescano ad applicare la patch.
La dinamica dell’attacco hacker
Defiant, la società di sicurezza informatica che ha segnalato il pericolo ha spiegato i dettagli dell’attacco.
I pirati informatici, stanno scandagliando il web alla ricerca di siti che utilizzano questo plugin per modificare le impostazioni e riuscire a registrarsi come amministratori.
Secondo Defiant, gli attacchi sfruttano la funzione di esportazione/importazione delle impostazioni che è stata aggiunta al plugin Easy WP SMTP nella versione 1.3.9.
Gli hacker hanno trovato un errore nel codice di questa nuova funzione che permette loro di modificare le impostazioni generali di un sito, non solo quelle relative al plugin.
Durante gli attacchi, gli hacker hanno modificato l’opzione “wp_user_roles” che controlla le autorizzazioni dell’utente sui siti WordPress, attribuendosi a loro piacimento le stesse capacità di un account amministratore.
Ciò significa che possono registrare nuovi account che risultano essere normali utenti WordPress, ma che in realtà hanno le autorizzazioni e le capacità di un account amministratore.
Negli attacchi successivi, gli hacker hanno poi cambiato il loro modus operandi e hanno iniziato a modificare l’impostazione “default_role” anziché quella “wp_user_roles”. Questa impostazione controlla il tipo di account degli utenti appena registrati. In questo nuovo attacco, tutti gli account appena creati sono account admin.
Quest’ultima tecnica di attacco è quella che gli hacker stanno usando più sovente.
Sono attivi due gruppi di hacker: il primo dei due si accontenta di redirezionare parte del traffico dopo aver creato un account di amministratore, mentre il secondo gruppo è molto più aggressivo e crea altri danni più importanti.
Questo secondo gruppo modifica i siti compromessi per reindirizzare i visitatori in arrivo verso siti dannosi, ad esempio falsi servizi di supporto tecnico per PC.
Aggiornare i siti WordPress vulnerabili
Tutti i siti che utilizzano il plugin Easy WP SMTP devono aggiornare alla versione più recente, v 1.3.9.1. Dopo aver aggiornato il plugin, NinTechNet e Defiant raccomandano il controllo della sezione “Utenti” e la verifica di eventuali nuovi iscritti.
In tutto questo, un complimento ai moderatori del Forum WordPress, che sembrano essersi adeguatamente preoccupati per la problematica.
Il team di moderazione del Forum WordPress ha avuto, finora, un atteggiamento di censura sui problemi di sicurezza e sugli attacchi hacker, lasciando spesso gli utenti di alcuni plugin WordPress, senza informazioni e senza supporto adeguato.