Un atacator necunoscut exploatează vulnerabilitățile din plugin-urile pentru care sunt disponibile patch-uri de luni sau chiar ani

În ultima săptămână, peste 900.000 de site-uri WordPress au fost vizate de un vector de atac neidentificat, într-o campanie de hacking derulată la scară largă. Pe 28 aprilie, Defiant, liderul global în securitatea Wordpress, care realizează plugin-uri de securitate Wordfence pentru platforma Wordpress, a declarat că a început să observe și să urmărească cu atenție o creștere exponențială a numărului de atacuri care vizează în special vulnerabilitățile Cross-Site Scripting (XSS). Campania pe scară largă a dus în final la o creștere de 30 de ori a traficului dedicat atacurilor.

Bazându-se pe componenta rău intenționată (payload), Defiant suspectează că majoritatea acestor atacuri sunt efectuate de un singur infractor cibernetic. Potrivit inginerului din echipa Wordfence, Ram Gall, infractorul cibernetic a pornit cu un volum mic de atacuri și nu și-a mărit eforturile până săptămâna trecută,  însă pe 3 mai campania a atins aproape 20 de milioane tentative de atac, îndreptate împotriva a peste jumătate de milion de site-uri web.

„În cursul ultimei luni, am detectat în total peste 24.000 de adrese IP distincte care trimit cereri către peste 900.000 de site-uri, în contextul acestor atacuri”, a adăugat Ram Gall.  Tentativele de Cross-Site Scripting (XSS), exploatează vulnerabilități în încercarea de a injecta coduri dăunătoare pe site-urile web legitime compromise, care apoi redirecționează vizitatorii către site-urile de publicitate infectate cu malware.  

De remarcat este faptul că actualizările de securitate care acoperă aceste vulnerabilități sunt disponibile de mult, patch-urile corespunzătoare au fost lansate în urmă cu luni sau chiar ani de zile.

Trei din cele cinci vulnerabilități vizate sunt legate de XSS. Unul dintre ele afectează plugin-ul Easy2Map, care a fost vizat în mai mult de jumătate din atacuri și este probabil instalat pe mai puțin de 3.000 de site-uri web. A doua breșă de securitate vizează plug-in-ul Blog Designer și are un patch disponibil încă de anul trecut. Acest plug-in a fost mai vizat în atacuri anterioare, iar Defiant estimează că există aproximativ 1.000 de implementări ale acestuia care nu au patch-ul instalat. A treia vulnerabilitate XSS se regăsește în tema Newspapper, care a fost, de asemenea, în centrul atacurilor din trecut și care dispune și ea de un patch încă din 2016.

Ultimele două lacune de securitate care sunt exploatate în acest atac nu sunt nici ele noutăți. Una dintre breșe afectează plugin-ul WP GDPR Compliance care are un patch disponibil din 2018 (am scris anterior un articol despre această campanie care a încercat să preia controlul site-urilor web folosind acest plug-in). Cea de-a doua breșă afectează plugin-ul Total Donations, care a fost eliminat permanent de pe Envato Marketplace în 2019. Oricare dintre aceste două vulnerabilități permite hackerilor să schimbe adresa web de domiciliu a site-ului.

Cercetătorii suspectează că atacatorul este suficient de competent pentru a viza alte vulnerabilități în viitor. Cele mai bune sfaturi pentru administratorii site-urilor WordPress rămân aceleași: păstrați nucleul  WordPress și toate pluginurile actualizate la cea mai nouă versiune. De asemenea, este important să ștergeți toate plugin-urile pe care nu le mai folosiți sau care nu mai sunt necesare, pentru că acestea măresc suprafața de atac.