Gli aggressori stanno sfruttando attivamente una vulnerabilità critica in BackupBuddy, un plug-in di WordPress che circa 140,000 siti web utilizzano per eseguire il backup delle proprie installazioni.
La vulnerabilità consente agli aggressori di leggere e scaricare file arbitrari dai siti Web interessati, compresi quelli contenenti informazioni di configurazione e dati sensibili come le password che possono essere utilizzati per ulteriori compromissioni.
Il fornitore di sicurezza WordPress Wordfence ha riferito di aver osservato attacchi mirati alla falla a partire dal 26 agosto e ha affermato di averlo fatto bloccato quasi 5 milioni di attacchi da allora. Lo sviluppatore del plug-in, iThemes, ha rilasciato una patch per la falla il 2 settembre, più di una settimana dopo l'inizio degli attacchi. Ciò aumenta la possibilità che almeno alcuni siti WordPress che utilizzano il software siano stati compromessi prima che fosse disponibile una soluzione per la vulnerabilità.
Un bug di attraversamento delle directory
In una dichiarazione sul suo sito Web, iThemes ha descritto la vulnerabilità di attraversamento delle directory come un impatto sui siti Web in esecuzione Versioni di BackupBuddy da 8.5.8.0 a 8.7.4.1. Ha invitato gli utenti del plug-in ad aggiornarsi immediatamente alla versione 8.75 di BackupBuddy, anche se attualmente non utilizzano una versione vulnerabile del plug-in.
"Questa vulnerabilità potrebbe consentire a un utente malintenzionato di visualizzare il contenuto di qualsiasi file sul tuo server che può essere letto dall'installazione di WordPress", ha avvertito il produttore del plug-in.
Gli avvisi di iThemes hanno fornito indicazioni su come gli operatori del sito possono determinare se il loro sito Web è stato compromesso e sulle misure che possono intraprendere per ripristinare la sicurezza. Queste misure includevano la reimpostazione della password del database, la modifica della loro Sali di WordPresse la rotazione delle chiavi API e di altri segreti nel file di configurazione del sito.
Wordfence ha affermato di aver visto gli aggressori utilizzare la falla per tentare di recuperare "file sensibili come il file /wp-config.php e /etc/passwd che possono essere utilizzati per compromettere ulteriormente una vittima".
Sicurezza dei plug-in WordPress: un problema endemico
Il difetto di BackupBuddy è solo uno delle migliaia di difetti che sono stati scoperti negli ambienti WordPress, quasi tutti riguardanti plug-in, negli ultimi anni.
In un rapporto all'inizio di quest'anno, iThemes ha affermato di averlo identificato un totale di 1,628 vulnerabilità di WordPress divulgate nel 2021 e oltre il 97% di essi ha avuto un impatto sui plug-in. Quasi la metà (47.1%) è stata classificata come di gravità da elevata a critica. E in modo preoccupante, Il 23.2% dei plug-in vulnerabili non disponeva di alcuna soluzione nota.
Una rapida scansione del National Vulnerability Database (NVD) effettuata da Dark Reading ha mostrato che diverse dozzine di vulnerabilità che colpiscono i siti WordPress sono state scoperte finora solo nella prima settimana di settembre.
I plug-in vulnerabili non sono l’unica preoccupazione per i siti WordPress; i plug-in dannosi sono un altro problema. Uno studio su larga scala condotto su oltre 400,000 siti web condotto dai ricercatori del Georgia Institute of Technology ha scoperto un l’incredibile cifra di 47,337 plug-in dannosi installato su 24,931 siti web, la maggior parte ancora attivi.
Sounil Yu, CISO di JupiterOne, afferma che i rischi inerenti agli ambienti WordPress sono come quelli presenti in qualsiasi ambiente che sfrutta plug-in, integrazioni e applicazioni di terze parti per estendere le funzionalità.
"Come nel caso degli smartphone, tali componenti di terze parti estendono le capacità del prodotto principale, ma sono anche problematici per i team di sicurezza perché aumentano significativamente la superficie di attacco del prodotto principale", spiega, aggiungendo che anche il controllo di questi prodotti è impegnativo. a causa del loro gran numero e della mancanza di una chiara provenienza.
"I team di sicurezza hanno approcci rudimentali, il più delle volte dando uno sguardo superficiale a quelle che io chiamo le tre P: popolarità, scopo e autorizzazioni", osserva Yu. "Similmente agli app store gestiti da Apple e Google, i marketplace devono effettuare ulteriori controlli per garantire che [plug-in, integrazioni e app di terze parti] dannosi non creino problemi ai loro clienti", osserva.
Un altro problema è che mentre WordPress è ampiamente utilizzato, spesso è gestito da professionisti del marketing o del web design e non da professionisti dell'IT o della sicurezza, afferma Bud Broomhead, CEO di Viakoo.
"L'installazione è semplice e la rimozione è un ripensamento o non viene mai eseguita", dice Broomhead a Dark Reading. "Proprio come la superficie di attacco si è spostata su IoT/OT/ICS, gli autori delle minacce mirano a sistemi non gestiti dall'IT, in particolare quelli ampiamente utilizzati come WordPress."
Broomhead aggiunge: "Anche se WordPress emette avvisi sui plug-in che rappresentano vulnerabilità, altre priorità oltre alla sicurezza potrebbero ritardare la rimozione di plug-in dannosi".
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
