GUARDA QUIhttps://www.accademiaitalianaprivacy.it/assets/images/immagineFB.jpg

Dettaglio news
Siti WordPress sotto attacco: i bug in un plugin per il GDPR


mercoledì 14 novembre 2018
di s-mart.biz



 
La vicenda è stata segnalata da moltissimi utenti e attraverso una serie di report sui forum ufficiali di WordPress: cyber attaccanti stanno sfruttando un bug presente in un plugin, piuttosto diffuso, per la compliance al GDPR. Il plugin in questione si chiama WP GDPR Compliance ed è un componente aggiuntivo che dovrebbe aiutare gli admin dei siti Internet a rispettare le norme che il nuovo Regolamento Europeo prevede in difesa della privacy e dei dati. Il problema è che questo plugin ha dei bug sfruttando i quali è possibile modificare le impostazioni del sito da remoto fino a prenderne il controllo. 
 
WordFence ha pubblicato un apposito report su questa problematica nel quale si specifica che le vulnerabilità sfruttate dai cyber criminali in questi giorni sono in realtà due: se sfruttate con successo concedono di creare un account amministratore o installare backdoor sui siti dove è presente il plugin in questione. 
 
Il primo exploit: creare l'account admin
 

La creazione dell'account di amministrazione avviene prima disabilitando la registrazione dell'utente quindi impostando l'utente di default nel ruolo di "subscriber". Questo accorgimento serve, in parte, anche a impedire che altri attaccanti possano creare il proprio account di amministrazione, ma anche a ridurre la probabilità che il reale amministratore del sito possa accorgersi della violazione. Insomma, l'attaccante, una volta entrato nel sito, si chiude così la porta alle spalle.

 
Diverse ore dopo la creazione del nuovo utente, l'attaccante esegue il login nel nuovo account admin e inizia l'installazione di una ulteriore backdoor. Nel caso in esame da parte di WordFence, gli attaccanti hanno caricato una robusta webshell PHP nel file wp-cache.php. L'immagine sotto è uno screenshot dell'interfaccia utente. 
 
 
Va detto che, ottenuto un tale livello di accesso al sito, nulla può impedire all'attaccante di installare ulteriori malware. 
 
Il secondo exploit: installare la backdoor
Il secondo exploit è ben più difficile da identificare. Gli attaccanti in questo caso stanno installando backdoor inserendo azioni dannose nella pianificazione WP-cron del sito bersaglio: la backdoor installata è persistente, dato che si auto-sostituisce nel caso venga rimossa. In questo caso però viene sfruttato il popolare plugin di Wordpress WooCommerce. 
 
Il plugin WP GDPR Compliance
Il plugin è stato, in un primo momento, rimosso dalle pagine ufficiali di WordPress, ma è stato in seguito ripristinato: la versione rilasciata dopo qualche giorno è una versione aggiornata (1.4.3) che risolve i bug di cui sopra. Il problema è che sono ancora oltissimi i siti che utilizzano la versione vulnerabile del plugin e anche i tempi necessair al ricambio paiono incerti. Stiamo parlando di un plugin che risulta installato in più di 100.000 siti WordPress: inutile dire quanto sia importante procedere all'aggiornamento del plugin per non trovarsi esposti alle conseguenze di questo attacco. 
 
Indicatori di compromissione
Esistono una serie di IOC (Indicatori di compromissione) la cui presenza segnala e aiuta a identificare casi simili. Eccoli:
 
- Indirizzi IP più usati nell'attacco per la creazione dell'admin
 
  • 109.234.39.250
  • 109.234.37.214
- Domini in uscita ai quali si registrano accessi
 
  • pornmam.com
- Indicatori del database
 
  • la presenza di account non autorizzati nella tabella account del tuo sito. Due esempi:
    -     t2trollherten
    -     t3trollherten
  • una voce nella tabella delle opzioni con il cui nome è (o è simile a) 2mb_autocode




CONDIVIDI QUESTA PAGINA!