Sicurezza WordPress

sicurezza WordPress

Sicurezza WordPress

Sicurezza WordPress

WordPress è soggetto ad attacchi malware se non viene costantemente monitorato e aggiornato. Qui di seguito pubblico una traduzione dell’articolo del blog di Sucuri, società americana specializzata nella protezione di siti e nella bonifica di siti compromessi dal malware.
[I link presenti rimandano alle risorse in lingua originale]

Dietro il Malware – Analisi Botnet di Antony Garand

Traduzione autorizzata da Sucuri che detiene il copyright dell’articolo. Leggi l’articolo originale (in Inglese)

Analizzando i log del  firewall sucuri si è scoperto che è stata di nuovo sfruttata una vecchia vulnerabilità in RevSlider (popolare plugin WordPress). Nel 2014/15 questa vulnerabilità aveva portato a una grande quantità di siti compromessi  (circa 100.000!).
Ora è ancora utilizzata per tentare di nuovo di infettare altri siti. La versione (4.2) con i patch di sicurezza è stata rilasciata nel febbraio 2014. Molti siti che non hanno aggiornato il plugin ora sono oggetto di una nuova ondata di attacchi.

L’hack originale richiedeva l’invio di una richiesta AJAX contenente l’azione  revslider_ajax_action al sito vulnerabile insieme ad un  pericoloso payload. A causa della severità del problema, molti host hanno attivato Modsecurity per mettere una patch virtuale e bloccare questo attacco.

Nella nuova variante la sequenza d’attacco modifica l’azione a  revolution_slider-ajax-action.

Questa variazione è stata rilevata dall’analista Keir Desaily.
Si scopre che alcuni temi che utilizzano revolution slider fanno leva su un nome di cartella diverso per archiviare i propri dati, sostituendo “revslider” con  “revolution-slider“. Siccome il codice utilizza la directory dei plugin come nome per le sue azioni AJAX , questo permette al malintenzionato di modificare il loro exploit, compromettendo i siti con successo. La maggior parte delle tecniche ModSecurity e delle tecniche di prevenzione impiegate sin da quando la vulnerabilità è stato scoperta filtrano l’attacco originale e sono statici.

Tutti i clienti CloudProxy SUCURI non sono interessati da questa nuova variante.

Analisi del malware

Durante l’analisi di questa nuova variante abbiamo passato del tempo a guardare il backdoor con cui stava cercando di comunicare. Si scopre gli aggressori stavano spingendo uno script zombie per la connessione a una rete bot IRC dove avrebbe ricevuto gli ordini dal comando e controllo (C & C).

Le botnet sono comuni e possono diffondere l’infezione attraverso risorse di un sito web, creando allo stesso tempo una rete per coprire le loro tracce. Utilizzare IRC come un centro di comando è popolare tra botnet in quanto sono facili da usare a distanza e fornire una connessione stabile per i bot.

Questo script particolare è stato utilizzato nell’hacking di siti dal 2012 e ancora le funzioni di questa variazione sono molto limitate. Mentre può eseguire comandi arbitrari, non può eseguire automaticamente le attività che richiedono uno script completo per essere trasmesse con ogni comando.

Abbiamo simulato di essere uno di questi bot per monitorare l’attività del server . Questo ci ha portato a una piccola rete IRC con decine di zombie che facevano trapelare centinaia di credenziali di database WordPress. Monitorare questo canale ci ha dato indicazioni su come funziona il bot per espandere l’infezione.

Trafugare credenziali dal bot IRC

Sappiamo che Google chiede un CAPTCHA dopo essere stato raggiunto un certo numero di ricerche. Questi bot avevano escogitato un modo per eseguire ricerche su Google, eludendo il CAPTCHA, consentendo loro di individuare e colpire i siti più vulnerabili. Questa sequenza di attacco può essere descritta come una evoluzione del precedente attacco condiviso da Denis. Ogni bot cerca i termini e le estensioni specifiche, sfruttando diversi Google domini di primo livello ( TLD ). Google ha più di 200 domini. Questo permette al malintenzionato di moltiplicare la loro gamma di ricerca per 200. La tecnica sembra essere efficiente, ottenendo più di 800 credenziali del database da diversi siti in meno di due giorni.
Mentre fingevamo di essere un bot, abbiamo ricevuto vari comandi da eseguire.

Comandi inviati dal Bot

Questo script tenta di scaricare un file di testo da un altro server infetto della loro rete, eseguirlo, quindi eliminare tutte le tracce di sé. Il contenuto del file rimane un mistero siccome era già stato rimosso dal server quando abbiamo tentato di scaricarlo. Da esperienze precedenti, probabilmente sottoporrà il nostro sito ad attacchi “brute force” o DDoS.

Exploit target

In base alle “dork” usate, Sucuri è stata in grado di scoprire che erano alla ricerca di installazioni di WordPress che contengono una versione vulnerabile di RevSlider. Una volta che un bersaglio vulnerabile viene trovato, l’accesso di amministratore è semplice.
Una volta che un obiettivo è compromesso, gli script vengono aggiunti al server compromesso e al network di attaccanti.

Statistiche password

Dagli 800 set di credenziali scaricati dalla rete, 40 di questi avevano nella password l’anno in cui il sito era stato costruito (come ad esempio WP_NomeSito2016) . Mentre può essere un modo semplice per memorizzare la password, utilizzare una data abbassa la difficoltà della password che diventa prevedibile!
Per ulteriori informazioni sulla creazione di password, leggere l’articolo delle dinamiche di creazione password in cui Sucuri condivide alcune best practice.

Ripara non appena possibile

Se si sta utilizzando una versione vulnerabile di RevSlider, fai un aggiornamento o una patch il più presto possibile! Nel caso in cui non sei in grado, si consiglia vivamente di usare il Firewall Sucuri o di una tecnologia equivalente per fare una patch virtuale.

Sicurezza WordPress, un asset molto importante!

Se sei interessato ad avere maggiori informazioni sulla sicurezza WordPress contattami richiedendo una incontro per una consulenza sulla sicurezza.

Ti potrebbe interessare anche

Filippo Manni
info@fedegrafia.com

Mi chiamo Federico Benvenuto, web designer e grafico freelance a Pordenone. Mi occupo di creazione siti internet, consulenza web marketing e SEO, di grafica e stampa, corsi su contenuti internet e servizi fotografici. Ho una specializzazione Tecnico web designer – editing multimediale e in Comunicazione digitale per l’e-government ottenute presso Enaip FVG. Ho conseguito il diploma di Fotografia Professionale Avanzata presso CSG G. Micesio di Udine. Sono laureato in Economia e Commercio ed ho una specializzazione di secondo livello in Marketing per le piccole medie imprese. Lavoro principalmente per pmi, enti pubblici e organizzatori eventi della provincia di Pordenone, Udine e del Veneto orientale (province di Venezia e Treviso).

Nessun Commento

Sorry, the comment form is closed at this time.