Scoperta vulnerabilità 0day nel plugin di WordPress Social Warfare
Estratto di articolo tradotto [qui l’originale in inglese] autorizzato da Sucuri che detiene il copyright dei testi.
Una vulnerabilità zero-day è appena apparsa nel mondo dei plug-in WordPress, interessando oltre 70.000 siti che utilizzano il plug-in Social Warfare.
Il plugin è soggetto ad una vulnerabilità XSS memorizzata (Cross-Site Scripting) ed è stato rimosso dal repository dei plugin. Gli attacchi possono essere condotti da qualsiasi utente che visita il sito.
Una patch è stata rilasciata e gli utenti sono invitati ad aggiornare alla versione 3.5.3 il prima possibile.
Come funziona questo malware?
Il codice vulnerabile è contenuto in alcune delle funzionalità di debug del plug-in. Queste funzionalità non sono utilizzate direttamente da nessuna parte e si basano su vari parametri $ _GET da eseguire, il che rende facile vedere se il tuo sito è stato attaccato utilizzando questa vulnerabilità.
Una Proof of concept pienamente funzionante è disponibile in natura e si prevede che il numero di tentativi di exploit aumenterà di dimensioni nei prossimi giorni.
Indicatori di compromissione sito WordPress:
Si possono cercare le richieste che puntano a qualsiasi file PHP / wp-admin / con i seguenti parametri nei tuoi log di accesso:
- swp_debug
- swp_url
Come si sta sviluppando nel mondo reale
Stiamo assistendo a molti tentativi di sfruttamento del bug da più di un centinaio di IP diversi.
Gli aggressori stanno iniettando script javascript malevoli caricando un url pastebin, che contiene un payload dannoso
Questo script reindirizza l’utente a un altro sito dannoso.
In conclusione
Lo scripting cross-site (XSS) è una vulnerabilità diffusa che consente a un utente malintenzionato di inserire contenuti dannosi in un sito. Questo costringe il browser del malcapitato ad eseguire il codice mentre la pagina viene caricata ed esegue azioni nel browser per conto del sito web.
Nel caso di Stored XSS come visto con la vulnerabilità di Social Warfare, il payload viene memorizzato nel database del sito e recuperato con ogni richiesta di pagina. Se lasciato senza patch, può essere molto pericoloso, in quanto fornisce a un utente malintenzionato il controllo quasi completo dell’ambiente del browser.
Gli attacchi non autenticati sono molto seri perché possono essere automatizzati – questo rende facile per gli hacker montare attacchi efficaci e diffusi contro siti Web vulnerabili. Il numero di installazioni attive, la facilità di utilizzo e gli effetti di un attacco di successo sono ciò che rende questa vulnerabilità particolarmente pericolosa.
Per proteggerci da questa vulnerabilità, incoraggiamo vivamente gli utenti di Social Warfare ad aggiornare il loro plug-in alla versione 3.5.3 il prima possibile. Nel caso in cui non sia possibile aggiornare immediatamente, è possibile sfruttare il firewall Sucuri o la tecnologia equivalente per applicare virtualmente una patch alla vulnerabilità.
Dettagli attacco malware
Exploitation Level: Easy / Remote
DREAD Score: 7.2
Vulnerability: Stored XSS
Patched Version: 3.5.3
Autore articolo: Marc-Alexandre Montpas
Hai un problema di sicurezza? Richiedi un preventivo
Servizi professionali a partire da 100,00 € + IVA
Se vuoi condividere la tua esperienza sul caso, commenta sotto.
Articolo apparso per la prima volta in www.fedegrafia.com il 23/03/2019, la notizia può essere condivisa attraverso link con attribuzione all’autore. Non può in ogni caso essere copiata senza autorizzazione scritta.
Lascia un commento