Il plugin Easy WP SMPT è stato hackerato: colpiti migliaia di siti

easy wp smpt wordpress hackerato

Il plugin Easy WP SMPT è stato hackerato: colpiti migliaia di siti

Scoperta vulnerabilità 0day in Easy WP SMPT, plugin di WordPress

 

Estratto di articolo tradotto [qui l’originale in inglese] autorizzato da Sucuri che detiene il copyright dei testi.

Gli autori del plugin Easy  WP SMTP hanno rilasciato un nuovo aggiornamento che corregge una vulnerabilità 0Day molto critica. Se sfruttata, questa vulnerabilità offre agli autori non autenticati il ​​potere di modificare qualsiasi opzione di un sito interessato, portando infine a una compromessione completa del sito.

La vulnerabilità, trovata solo nella versione 1.3.9, è stata vista sfruttata in natura e ha un impatto su migliaia di siti.

Dettagli tecnici compromissione sito WordPress

Il bug che viene sfruttato trae vantaggio da un fraintendimento del contesto di esecuzione dell’hook admin_init. Abbiamo visto errori simili nei plug-in fin dal 2014.

Come discusso da chi ha riportato per primo questo problema, questa funzione agganciata gestisce una varietà di funzionalità amministrative. Uno di questi, un meccanismo di importazione / esportazione, consente a un utente malintenzionato di importare file contenenti un elenco di opzioni da aggiornare nel database del sito.

Mentre questo contenuto serializzato può essere utilizzato per eseguire un attacco PHP Object Injection, i cattivi attori hanno trovato molto più semplice aggiornare semplicemente alcune opzioni di WordPress per fornire agli utenti privilegi amministrativi. La stessa tecnica può anche essere utilizzata per abilitare la registrazione dell’utente quando altrimenti non sarebbero in grado di farlo.

Alcune delle opzioni utilizzate includono: default_role, users_can_register e wp_user_roles, che sono memorizzati nella tabella wp_options.

Molti siti sono stati bucati e compromessi

Stiamo vedendo richieste malevoli utilizzate nei siti in produzione. Mentre la maggior parte di essi punta a /wp-admin/admin-post.php, altri endpoint nella directory / wp-admin / possono essere utilizzati per attivare l’hook admin_init e sfruttare la vulnerabilità.

 

Conclusione

L’urgenza di questa particolare vulnerabilità è definita dal punteggio DREAD associato, che considera il danno, la riproducibilità, la sfruttabilità, gli utenti interessati e la rilevabilità.

Gli attacchi non autenticati sono molto seri in quanto possono essere automatizzati: ciò rende facile per gli hacker montare attacchi efficaci e diffusi contro siti web vulnerabili. Una volta che un malintenzionato ha ottenuto l’accesso ad ambienti sensibili senza fornire credenziali valide, può agire come utente fidato e assumere completamente il controllo di un sito web.

Il numero di installazioni attive, la facilità di utilizzo e gli effetti di un attacco di successo sono ciò che rende questa vulnerabilità particolarmente pericolosa.

Se stai usando la versione 1.3.9 di questo plugin, ti consigliamo vivamente di aggiornarlo alla versione 1.3.9.1 il prima possibile.

Nel caso in cui non sia possibile aggiornare il plug-in, è possibile sfruttare il firewall Sucuri o la tecnologia equivalente per applicare virtualmente una patch alla vulnerabilità.

 

Exploitation Level: Very Easy / Remote

DREAD Score: 9.4

Vulnerability: Arbitrary Option Update

Patched Version: 1.3.9.1

 

Autore articolo: Marc-Alexandre Montpas

Hai un problema di sicurezza? Richiedi un preventivo

Servizi professionali a partire da 100,00 € + IVA

Richiesta di Assistenza a pagamento

Nome e Cognome* (senza questi dati la richiesta non sarà processata)

Email *

Che problemi di sicurezza hai riscontrato? *

Intervervento di Assistenza
sito compromesso: a partire da 120,00 € + IVAseo spam: a partire da 200,00 € + IVAphishing: a partire da 200,00 € + IVA

Contatto telefonico

* Acconsento al trattamento dei dati personali per comunicazioni di natura commerciale dopo aver letto e compreso l' informativa sulla privacy

* campi richiesti

 

Se vuoi condividere la tua esperienza sul caso, commenta sotto.

Articolo apparso per la prima volta in www.fedegrafia.com il 22/03/2019, la notizia può essere condivisa attraverso link con attribuzione all’autore. Non può in ogni caso essere copiata senza autorizzazione.

Federico Benvenuto
info@fedegrafia.com

Mi chiamo Federico Benvenuto, web designer e grafico freelance a Pordenone. Mi occupo di creazione siti internet, consulenza web marketing e SEO, di grafica e stampa, corsi su contenuti internet e servizi fotografici. Ho una specializzazione Tecnico web designer – editing multimediale e in Comunicazione digitale per l’e-government ottenute presso Enaip FVG. Ho conseguito il diploma di Fotografia Professionale Avanzata presso CSG G. Micesio di Udine. Sono laureato in Economia e Commercio ed ho una specializzazione di secondo livello in Marketing per le piccole medie imprese. Lavoro principalmente per pmi, enti pubblici e organizzatori eventi della provincia di Pordenone, Udine e del Veneto orientale (province di Venezia e Treviso).

No Comments

Post A Comment

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.