Rilevata compromissione di plugin per WordPress

Giu 25, 2024 | Articoli

Sintesi

È stata recentemente rilevata la compromissione di alcuni plugin per WordPress, utilizzati dagli attaccanti per iniettare codice malevolo ed esfiltrare informazioni sensibili.

Rischio

Stima d’impatto della vulnerabilità sulla comunità di riferimento: ALTO/ARANCIONE (73,07/100)1.

Tipologia

  • Remote Code Execution
  • Information Leakage
  • Privilege Escalation

Descrizione e potenziali impatti

Il Wordfence Threat Intelligence team ha recentemente rilevato la compromissione di alcuni plugin per WordPress, all’interno dei quali è stato identificato del codice PHP malevolo.

Nel dettaglio, tale codice risulterebbe in grado di eseguire le seguenti attività sulle istanze impattate:

  • esfiltrare il database delle credenziali utente;
  • creare utenze di tipo amministrativo;
  • comunicare con il server di C2 sotto il controllo degli attaccanti;
  • inserire nel footer delle pagine web delle piattaforme interessate del codice JavaScript, al fine di acquisire visibilità nei motori di ricerca tramite la tecnica “SEO spam” (spamdexing).

Per eventuali ulteriori approfondimenti si consiglia di consultare il link al bollettino di sicurezza Wordfence, presente nella sezione Riferimenti.

Prodotti e versioni affette

Si riportano, allo stato, i plugin infetti rilevati dai ricercatori di sicurezza:

  • Social Warfare, dalla versione 4.4.6.4 alla 4.4.7.1
  • Blaze Widget, dalla versione 2.2.5 alla 2.5.2
  • Wrapper Link Element, versioni 1.0.2 e 1.0.3
  • Contact Form 7 Multi-Step Addon, versioni 1.0.4 e 1.0.5
  • Simply Show Hooks, versione 1.2.1

Azioni di mitigazione

In linea con le dichiarazioni dei ricercatori di sicurezza, in attesa del rilascio delle nuove versioni dei plugin, si consiglia la tempestiva rimozione delle versioni malevole e il monitoraggio dei repository degli sviluppatori dei suddetti plugin.

Infine, si raccomanda di valutare la verifica e l’implementazione – sui propri apparati di sicurezza – degli Indicatori di Compromissione (IoC)2 presenti nel bollettino di sicurezza Wordfence.

Identificatori univoci vulnerabilità

CVE-2024-6297

Riferimenti

https://www.wordfence.com/blog/2024/06/supply-chain-attack-on-wordpress-org-plugins-leads-to-5-maliciously-compromised-wordpress-plugins/

https://www.wordfence.com/threat-intel/vulnerabilities/detail/several-wordpressorg-plugins-various-versions-injected-backdoor

https://wordpress.org/support/topic/a-security-message-from-the-plugin-review-team/