È stata identificata una campagna malevola che coinvolge diversi plugin di WordPress sfruttati per compromettere i siti Web basati sulla nota piattaforma di content management system e creare finti account amministratore con cui prenderne il controllo ed esfiltrare informazioni sensibili.

La scoperta iniziale di questa significativa violazione della sicurezza dei siti Web è stata fatta lo scorso 22 giugno 2024, quando il team di Threat Intelligence di Wordfence si è accorto che il plugin Social Warfare era stato iniettato con codice PHP dannoso.

Ulteriori indagini condotte dagli analisti di Wordfence hanno poi identificato altri quattro plugin compromessi in modo simile.

Cosa sappiamo dei plugin WordPress compromessi

I plugin WordPress che gli attori della minaccia hanno compromesso iniettando al loro interno codice PHP malevolo sono i seguenti:

1. Social Warfare (versioni 4.4.6.4 – 4.4.7.1)
2. Blaze Widget (versioni 2.2.5 – 2.5.2)
3. Elemento Wrapper Link (versioni 1.0.2 – 1.0.3)
4. Addon Contact Form 7 Multi-Step (versioni 1.0.4 – 1.0.5)
5. Ganci Simply Show (versione 1.2.1)

Sfruttando le versioni compromesse di questi plugin di WordPress, un aggressore malintenzionato potrebbe condurre attacchi di tipo:

• Remote Code Execution
• Information Leakage
• Privilege Escalation

In particolare, come riportato nel bollettino di sicurezza pubblicato da Wordfence, lo sfruttamento del codice PHP malevolo iniettato all’interno di questi plugin potrebbe consentire agli attori della minaccia di:

1. esfiltrare il database delle credenziali utente;
2. creare utenze di tipo amministrativo;
3. comunicare con il server di C2 sotto il controllo degli attaccanti;
4. inserire nel footer delle pagine web delle piattaforme interessate del codice JavaScript, al fine di acquisire visibilità nei motori di ricerca tramite la tecnica “SEO spam” (spamdexing).

La buona notizia è che il codice malevolo con cui sono stati compromessi i plugin di WordPress non è particolarmente offuscato, per cui è abbastanza facile identificarlo e rimuoverlo utilizzando normali soluzioni di sicurezza.

Azioni di mitigazione e raccomandazioni

Subito dopo la scoperta dei plugin compromessi, gli analisti di Wordfence hanno contattato il team dei plugin di WordPress per avvisarlo della possibile minaccia.

Sebbene non vi sia stata alcuna risposta ufficiale, i plugin interessati sono stati eliminati dall’elenco di quelli disponibili per il download.

Alla luce di questo, il consiglio è quello di aggiornare le versioni dei plugin installati sul proprio sito con le eventuali patch, se disponibili, o di rimuoverli completamente qualora non sia disponibile alcun aggiornamento.

È utile, inoltre, verificare la presenza di account amministrativi non autorizzati per la gestione del proprio sito Web e, in caso affermativo, rimuoverli.

Gli analisti di Wordfence stanno conducendo un’analisi più approfondita per sviluppare le firme virali necessarie per rilevare i plugin compromessi.

Nel frattempo, è importante implementare sui propri apparati di sicurezza gli indicatori di compromissione (IoC) indicati nel bollettino di sicurezza Wordfence:

1. Indirizzo IP del server a cui l’aggressore malintenzionato invia i dati: 94.156.79.8
2. Account utente amministrativi generati dall’aggressore: Opzioni, PluginAuth

Infine, è sempre importante rimanere vigili quando si utilizzano plugin di terze parti e assicurarci che le installazioni di WordPress siano sicure per evitare ulteriori sfruttamenti.