Gli esperti di Wordfence hanno rilevato un attacco in corso contro oltre 1,6 milioni di siti WordPress e provenienti da oltre 16.000 indirizzi IP. I cybercriminali hanno sfruttato le vulnerabilità presenti in quattro plugin e quindici temi Epsilon Framework per assumere il ruolo di amministratore e quindi prendere il controllo del sito. È necessario installare gli aggiornamenti al più presto o rimuovere plugin e temi non utilizzati.

Gli attacchi sono iniziati il 7 dicembre. I sistemi di Wordfence ha rilevato quasi 14 milioni di attacchi fino al 9 dicembre. Sfruttando le vulnerabilità di quattro plugin e quindici temi, i cybercriminali hanno attivato l’opzione users_can_register e impostato l’opzione default_role a “administrator“. In questo modo possono effettuare la registrazione al sito e diventare amministratori.

Questi sono i plugin e le versioni vulnerabili:

  • PublishPress Capabilities <= 2.3
  • Kiwi Social Plugin <= 2.0.10
  • Pinterest Automatic <= 4.14.3
  • WordPress Automatic <= 3.53.2

Questi sono invece i temi Epsilon Framework vulnerabili:

  • Shapely <=1.2.8
  • NewsMag <=2.4.1
  • Activello <=1.4.1
  • Illdy <=2.1.6
  • Allegiant <=1.2.5
  • Newspaper X <=1.3.1
  • Pixova Lite <=2.0.6
  • Brilliance <=1.2.9
  • MedZone Lite <=1.2.5
  • Regina Lite <=2.0.5
  • Transcend <=1.1.9
  • Affluent <1.1.0
  • Bonkers <=1.0.5
  • Antreas <=1.0.6

Per il tema NatureMag Lite non è stato rilasciato l’aggiornamento che risolve la vulnerabilità, quindi è fortemente consigliata la sua disinstallazione.

I proprietari dei siti devono controllare ed eventualmente cancellare ogni account sospetto. Inoltre nelle impostazioni generali di WordPress non deve essere spuntata la casella “Chiunque può registrarsi” e deve essere scelto correttamente il ruolo predefinito per i nuovi utenti (ovviamente mai scegliere amministratore).

Come parte delle corrette procedure di amministrazione dei siti Web e nel rispetto delle Linee Guida AgID, che chiedono il monitoraggio e l’applicazione costanti di patch di sicurezza e aggiornamenti, Easyteam.org SRL consiglia a tutti i gestori di siti web WordPress di affrettarsi ad aggiornare i propri sistemi.

Nello specifico, occorre verificare di aver aggiornato correttamente all’ultima versione:

  • il core di WordPress, attualmente alla versione 5.8.2
  • i plugin installati sul sito (anche quelli disattivati!)
  • il linguaggio PHP, che deve essere almeno alla versione 7.3

Post simili