Lo scorso 9 dicembre il team di Threat Intelligence di Wordfence ha rilevato un drastico aumento degli attacchi che prendono di mira siti WordPress.
In particolare, target dei cyber-attack sono falle di sicurezza che consentono agli aggressori di aggiornare opzioni arbitrarie sui siti vulnerabili.
Questo segnale ha portato il team di Wordfence a un’indagine che ha scoperto un attacco attivo che ha preso di mira oltre un milione di siti WordPress.
In 36 ore, la rete Wordfence ha bloccato oltre 13,7 milioni di attacchi che hanno preso di mira quattro diversi plugin e diversi temi Epsilon Framework su oltre 1,6 milioni di siti e provenienti da oltre 16.000 indirizzi IP diversi.
Gli aggressori – ha specificato Wordfence – stanno prendendo di mira quattro plugin con vulnerabilità di Unauthenticated Arbitrary Options Update.
I quattro plugin sono: Kiwi Social Share, WordPress Automatic, Pinterest Automatic e PublishPress Capabilities. Inoltre, gli attacchi stanno prendendo di mira una vulnerabilità Function Injection in vari temi Epsilon Framework nel tentativo di aggiornare le opzioni arbitrarie.
Nella maggior parte dei casi, gli aggressori stanno aggiornando l’opzione users_can_register su enabled e impostando l’opzione defaultrole su “administrator”. Questo rende possibile ai cyber-attacker di registrarsi su qualsiasi sito come amministratore prendendo effettivamente il controllo del sito WordPress.
I dati di Wordfence sugli attacchi indicano che c’è stata pochissima attività da parte degli aggressori che hanno preso di mira una di queste vulnerabilità fino all’8 dicembre 2021.
Questo porta l’azienda di security a ritenere che la vulnerabilità recentemente patchata in PublishPress Capabilities possa aver spinto gli aggressori a prendere di mira varie vulnerabilità di Arbitrary Options Update come parte di una campagna massiccia.
Wordfence sviluppa una soluzione di security progettata in modo specifico per WordPress e – naturalmente – l’azienda suggerisce di proteggere il proprio sito con uno strumento idoneo.
Ma, indipendentemente dalla protezione fornita da Wordfence o da un altro fornitore, l’azienda consiglia vivamente agli amministratori di assicurarsi che tutti i siti che eseguono uno di questi plugin o temi siano stati aggiornati alla versione patchata.
Sul proprio blog, Wordfence fornisce informazioni dettagliate sull’attacco e sulle versioni colpite di ogni prodotto.
