{"id":53848,"date":"2019-03-21T17:14:48","date_gmt":"2019-03-21T16:14:48","guid":{"rendered":"http:\/\/www.alground.com\/site\/?p=53848"},"modified":"2020-03-18T23:04:47","modified_gmt":"2020-03-18T22:04:47","slug":"falla-wordpress-plugin-smtp","status":"publish","type":"post","link":"https:\/\/alground.com\/site\/falla-wordpress-plugin-smtp\/53848\/","title":{"rendered":"Falla in WordPress: 300mila siti a rischio per un plugin"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Punti chiave<\/p>\n<label for=\"ez-toc-cssicon-toggle-item-69f6f617d5e87\" class=\"ez-toc-cssicon-toggle-label\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/label><input type=\"checkbox\"  id=\"ez-toc-cssicon-toggle-item-69f6f617d5e87\"  aria-label=\"Toggle\" \/><nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/alground.com\/site\/falla-wordpress-plugin-smtp\/53848\/#Il_bug_in_WordPress_il_plugin_SMTP_e_vulnerabile\" >Il bug in WordPress: il plugin SMTP \u00e8 vulnerabile<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/alground.com\/site\/falla-wordpress-plugin-smtp\/53848\/#La_dinamica_dellattacco_hacker\" >La dinamica dell&#8217;attacco hacker<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/alground.com\/site\/falla-wordpress-plugin-smtp\/53848\/#Aggiornare_i_siti_WordPress_vulnerabili\" >Aggiornare i siti WordPress vulnerabili<\/a><\/li><\/ul><\/nav><\/div>\n\n<p>Due aziende di cyber-sicurezza hanno rilevato attacchi hacker contro WordPress, attraverso una vulnerabilit\u00e0 zero-day che si trova in un plugin molto popolare.<\/p>\n\n\n\n<p>Almeno due gruppi di hacker stanno sfruttando la falla per modificare le impostazioni del sito e creare account di admin da utilizzare come backdoor.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Il_bug_in_WordPress_il_plugin_SMTP_e_vulnerabile\"><\/span>Il bug in WordPress: il plugin SMTP \u00e8 vulnerabile<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Il bug sfruttato da questi due gruppi risiede in &#8220;Easy WP SMTP,&#8221; un plugin per WordPress con oltre 300.000 installazioni attive. La caratteristica principale del plugin \u00e8 quella di consentire ai proprietari del sito di configurare le impostazioni SMTP delle e-mail in uscita del loro server.<\/p>\n\n\n\n<p>Il problema \u00e8 stato segnalato all&#8217;autore del plugin, che ha corretto lo zero-day  con il rilascio della nuova versione del plugin 1.3.9.1.<\/p>\n\n\n\n<p>Gli attacchi tuttavia non si sono fermati ma sono proseguiti per tutta la settimana: gli hacker cercano di prendere in ostaggio il maggior numero di siti che possono prima che i proprietari riescano ad applicare la patch.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"La_dinamica_dellattacco_hacker\"><\/span>La dinamica dell&#8217;attacco hacker<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Defiant, la societ\u00e0 di sicurezza informatica che ha segnalato il pericolo ha spiegato i dettagli dell&#8217;attacco.<\/p>\n\n\n\n<p>I pirati informatici, stanno scandagliando il web alla ricerca di siti che utilizzano questo plugin per modificare le impostazioni e riuscire a registrarsi come amministratori.<\/p>\n\n\n\n<p>Secondo Defiant, gli attacchi sfruttano la funzione di esportazione\/importazione delle impostazioni che \u00e8 stata aggiunta al plugin Easy WP SMTP nella versione 1.3.9. <\/p>\n\n\n\n<p>Gli hacker hanno trovato un errore nel codice di questa nuova funzione che permette loro di modificare le impostazioni generali di un sito, non solo quelle relative al plugin.<\/p>\n\n\n\n<p>Durante gli attacchi, gli hacker hanno modificato l&#8217;opzione &#8220;wp_user_roles&#8221; che controlla le autorizzazioni dell&#8217;utente sui siti WordPress, attribuendosi a loro piacimento le stesse capacit\u00e0 di un account amministratore.<\/p>\n\n\n\n<p>Ci\u00f2 significa che possono registrare nuovi account che risultano essere normali utenti WordPress, ma che in realt\u00e0 hanno le autorizzazioni e le capacit\u00e0 di un account amministratore.<\/p>\n\n\n\n<p>Negli attacchi successivi, gli hacker hanno poi cambiato il loro modus operandi e hanno iniziato a modificare l&#8217;impostazione &#8220;default_role&#8221; anzich\u00e9 quella &#8220;wp_user_roles&#8221;. Questa impostazione controlla il tipo di account degli utenti appena registrati. In questo nuovo attacco, tutti gli account appena creati sono account admin.<\/p>\n\n\n\n<p>Quest&#8217;ultima tecnica di attacco \u00e8 quella che gli hacker stanno usando pi\u00f9 sovente.<\/p>\n\n\n\n<p>Sono attivi due gruppi di hacker: il primo dei due si accontenta di redirezionare parte del traffico dopo aver creato un account di amministratore, mentre il secondo gruppo \u00e8 molto pi\u00f9 aggressivo e crea altri danni pi\u00f9 importanti.<\/p>\n\n\n\n<p>Questo secondo gruppo modifica i siti compromessi per reindirizzare i visitatori in arrivo verso siti dannosi, ad esempio falsi servizi di supporto tecnico per PC.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Aggiornare_i_siti_WordPress_vulnerabili\"><\/span>Aggiornare i siti WordPress vulnerabili<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Tutti i siti che utilizzano il plugin Easy WP SMTP devono aggiornare alla versione pi\u00f9 recente, v 1.3.9.1. Dopo aver aggiornato il plugin, NinTechNet e Defiant raccomandano il controllo della sezione &#8220;Utenti&#8221; e la verifica di eventuali nuovi iscritti.<\/p>\n\n\n\n<p>In tutto questo, un complimento ai moderatori del Forum WordPress, che sembrano essersi adeguatamente preoccupati per la problematica.<\/p>\n\n\n\n<p>Il team di moderazione del Forum WordPress ha avuto, finora, un atteggiamento di censura sui problemi di sicurezza e sugli attacchi hacker, lasciando spesso gli utenti di alcuni plugin WordPress, senza informazioni e senza supporto adeguato.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Due aziende di cyber-sicurezza hanno rilevato attacchi hacker contro WordPress, attraverso una vulnerabilit\u00e0 zero-day che si trova in un plugin molto popolare. Almeno due gruppi di hacker stanno sfruttando la falla per modificare le impostazioni del sito e creare account di admin da utilizzare come backdoor. Il bug in WordPress: il plugin SMTP \u00e8 vulnerabile [&hellip;]<\/p>\n","protected":false},"author":16,"featured_media":53887,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"pmpro_default_level":"","footnotes":""},"categories":[1413,359],"tags":[],"class_list":{"0":"post-53848","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-attualita","8":"category-editoriali","9":"pmpro-has-access"},"aioseo_notices":[],"jetpack_featured_media_url":"https:\/\/alground.com\/site\/wp-content\/uploads\/2019\/03\/falla_wordpress_plugin_smtp.jpg","wps_subtitle":"Una falla in un popolare plugin per l\u2019invio di mail, espone 300mila siti Wordpress ad attacchi hacker. Cosa fare per proteggersi","_links":{"self":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/53848","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/users\/16"}],"replies":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/comments?post=53848"}],"version-history":[{"count":0,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/53848\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media\/53887"}],"wp:attachment":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media?parent=53848"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/categories?post=53848"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/tags?post=53848"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}