I bug del plugin di newsletter consentono agli hacker di iniettare backdoor su 300 mila siti
3 Agosto 2020 - Tempo di lettura: 9 minuti
I proprietari di siti WordPress che utilizzano il plug-in Newsletter sono invitati ad aggiornare le loro installazioni per bloccare attacchi che potrebbero utilizzare una vulnerabilità ora conosciuta che consente agli hacker di iniettare backdoor, creare amministratori non autorizzati e potenzialmente acquisire i propri siti Web.
La vulnerabilità è stata rilevata nel plug-in WordPress per newsletter che fornisce gli strumenti necessari per creare campagne di marketing reattivo via e-mail e newsletter sui blog di WordPress utilizzando un compositore visivo.
Il plugin è già stato scaricato oltre 12 milioni di volte da quando è stata aggiunta al repository ufficiale dei plug-in di WordPress ed è ora installata su oltre 300.000 siti.
Rattoppato entro due giorni
In un rapporto pubblicato oggi dal team di Intelligence sulle minacce di Wordfence, l'analista delle minacce Ram Gall afferma di aver scoperto altri due difetti di sicurezza durante l'analisi di una precedente patch pubblicata dagli sviluppatori del plug-in il 13 luglio.
Wordfence ha individuato un difetto riflesso di Cross-Site Scripting (XSS) e una vulnerabilità di PHP Object Injection che sono state completamente corrette dal team di sviluppo di Newsletter il 17 luglio con il rilascio della versione 6.8.3, due giorni dopo il rapporto iniziale inviato il 15 luglio.
Mentre i due difetti sono classificati come problemi di media e alta gravità che potrebbero consentire agli aggressori di aggiungere amministratori non autorizzati e iniettare backdoor dopo aver sfruttato con successo il problema XSS riflesso su siti che eseguono versioni vulnerabili del plug-in Newsletter.
Inoltre, il difetto di Iniezione oggetto PHP
"potrebbe essere utilizzato per iniettare un oggetto PHP che potrebbe essere elaborato dal codice di un altro plugin o tema e utilizzato per eseguire codice arbitrario, caricare file o qualsiasi altro numero di altre tattiche che potrebbero portare all'acquisizione del sito", secondo Gall.
Almeno 150.000 siti sono ancora esposti ad attacchi
Anche se la Newsletter 6.8.3, la versione del plug-in fornita con una correzione per le due vulnerabilità, è stata rilasciata il 17 luglio, il plug-in è stato scaricato solo 151.449 volte da allora in base ai dati di download storici, inclusi aggiornamenti e nuove installazioni.
Questo si traduce in almeno 150.000 siti WordPress con installazioni di newsletter attive potenzialmente ancora lasciate esposte a potenziali attacchi se gli hacker iniziano a sfruttare questi bug come parte delle campagne future.
Gli utenti delle newsletter sono invitati ad aggiornare il plug-in alla versione 6.8.3 il più presto possibile per bloccare gli attacchi progettati per aggiungere amministratori non autorizzati o per iniettare backdoor sui loro siti, dato che gli attori delle minacce utilizzano spesso vulnerabilità del plug-in WordPress già risolte nei loro attacchi.
Ad esempio, due mesi fa, Wordfence ha segnalato una campagna indirizzata a centinaia di migliaia di siti WordPress in 24 ore, tentando di raccogliere le credenziali del database rubando i file di configurazione dopo aver sfruttato con successo i difetti XSS noti che interessano i plugin e i temi di WordPress.
"Tra il 29 maggio e il 31 maggio 2020, il firewall di Wordfence ha bloccato oltre 130 milioni di attacchi destinati a raccogliere credenziali di database da 1,3 milioni di siti scaricando i loro file di configurazione", ha detto Gall in quel momento.
La scorsa settimana, una vulnerabilità di gravità massima rilevata nel plug-in wpDiscuz installato su oltre 70.000 siti WordPress ha consentito agli hacker di assumere il controllo degli account di hosting tramite attacchi di esecuzione di codice in modalità remota.
