Sicurezza WordPress
WordPress è soggetto ad attacchi malware se non viene costantemente monitorato e aggiornato. Qui di seguito pubblico una traduzione dell’articolo del blog di Sucuri, società americana specializzata nella protezione di siti e nella bonifica di siti compromessi dal malware.
[I link presenti rimandano alle risorse in lingua originale]
Dietro il Malware – Analisi Botnet di Antony Garand
Traduzione autorizzata da Sucuri che detiene il copyright dell’articolo. Leggi l’articolo originale (in Inglese)
Analizzando i log del firewall sucuri si è scoperto che è stata di nuovo sfruttata una vecchia vulnerabilità in RevSlider (popolare plugin WordPress). Nel 2014/15 questa vulnerabilità aveva portato a una grande quantità di siti compromessi (circa 100.000!).
Ora è ancora utilizzata per tentare di nuovo di infettare altri siti. La versione (4.2) con i patch di sicurezza è stata rilasciata nel febbraio 2014. Molti siti che non hanno aggiornato il plugin ora sono oggetto di una nuova ondata di attacchi.
L’hack originale richiedeva l’invio di una richiesta AJAX contenente l’azione revslider_ajax_action al sito vulnerabile insieme ad un pericoloso payload. A causa della severità del problema, molti host hanno attivato Modsecurity per mettere una patch virtuale e bloccare questo attacco.
Nella nuova variante la sequenza d’attacco modifica l’azione a revolution_slider-ajax-action.
Questa variazione è stata rilevata dall’analista Keir Desaily.
Si scopre che alcuni temi che utilizzano revolution slider fanno leva su un nome di cartella diverso per archiviare i propri dati, sostituendo “revslider” con “revolution-slider“. Siccome il codice utilizza la directory dei plugin come nome per le sue azioni AJAX , questo permette al malintenzionato di modificare il loro exploit, compromettendo i siti con successo. La maggior parte delle tecniche ModSecurity e delle tecniche di prevenzione impiegate sin da quando la vulnerabilità è stato scoperta filtrano l’attacco originale e sono statici.
Tutti i clienti CloudProxy SUCURI non sono interessati da questa nuova variante.
Analisi del malware
Durante l’analisi di questa nuova variante abbiamo passato del tempo a guardare il backdoor con cui stava cercando di comunicare. Si scopre gli aggressori stavano spingendo uno script zombie per la connessione a una rete bot IRC dove avrebbe ricevuto gli ordini dal comando e controllo (C & C).
Le botnet sono comuni e possono diffondere l’infezione attraverso risorse di un sito web, creando allo stesso tempo una rete per coprire le loro tracce. Utilizzare IRC come un centro di comando è popolare tra botnet in quanto sono facili da usare a distanza e fornire una connessione stabile per i bot.
Questo script particolare è stato utilizzato nell’hacking di siti dal 2012 e ancora le funzioni di questa variazione sono molto limitate. Mentre può eseguire comandi arbitrari, non può eseguire automaticamente le attività che richiedono uno script completo per essere trasmesse con ogni comando.
Abbiamo simulato di essere uno di questi bot per monitorare l’attività del server . Questo ci ha portato a una piccola rete IRC con decine di zombie che facevano trapelare centinaia di credenziali di database WordPress. Monitorare questo canale ci ha dato indicazioni su come funziona il bot per espandere l’infezione.
Trafugare credenziali dal bot IRC
Sappiamo che Google chiede un CAPTCHA dopo essere stato raggiunto un certo numero di ricerche. Questi bot avevano escogitato un modo per eseguire ricerche su Google, eludendo il CAPTCHA, consentendo loro di individuare e colpire i siti più vulnerabili. Questa sequenza di attacco può essere descritta come una evoluzione del precedente attacco condiviso da Denis. Ogni bot cerca i termini e le estensioni specifiche, sfruttando diversi Google domini di primo livello ( TLD ). Google ha più di 200 domini. Questo permette al malintenzionato di moltiplicare la loro gamma di ricerca per 200. La tecnica sembra essere efficiente, ottenendo più di 800 credenziali del database da diversi siti in meno di due giorni.
Mentre fingevamo di essere un bot, abbiamo ricevuto vari comandi da eseguire.
Comandi inviati dal Bot
Questo script tenta di scaricare un file di testo da un altro server infetto della loro rete, eseguirlo, quindi eliminare tutte le tracce di sé. Il contenuto del file rimane un mistero siccome era già stato rimosso dal server quando abbiamo tentato di scaricarlo. Da esperienze precedenti, probabilmente sottoporrà il nostro sito ad attacchi “brute force” o DDoS.
Exploit target
In base alle “dork” usate, Sucuri è stata in grado di scoprire che erano alla ricerca di installazioni di WordPress che contengono una versione vulnerabile di RevSlider. Una volta che un bersaglio vulnerabile viene trovato, l’accesso di amministratore è semplice.
Una volta che un obiettivo è compromesso, gli script vengono aggiunti al server compromesso e al network di attaccanti.
Statistiche password
Dagli 800 set di credenziali scaricati dalla rete, 40 di questi avevano nella password l’anno in cui il sito era stato costruito (come ad esempio WP_NomeSito2016) . Mentre può essere un modo semplice per memorizzare la password, utilizzare una data abbassa la difficoltà della password che diventa prevedibile!
Per ulteriori informazioni sulla creazione di password, leggere l’articolo delle dinamiche di creazione password in cui Sucuri condivide alcune best practice.
Ripara non appena possibile
Se si sta utilizzando una versione vulnerabile di RevSlider, fai un aggiornamento o una patch il più presto possibile! Nel caso in cui non sei in grado, si consiglia vivamente di usare il Firewall Sucuri o di una tecnologia equivalente per fare una patch virtuale.
Sicurezza WordPress, un asset molto importante!
Se sei interessato ad avere maggiori informazioni sulla sicurezza WordPress contattami richiedendo una incontro per una consulenza sulla sicurezza.