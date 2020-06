Di Pierguido Iezzi, Co-founder Swascan

Un attacco durante lo scorso fine settimana ha preso di mira, senza successo, 1,3 milioni di siti Web WordPress, nel tentativo di scaricare i loro file di configurazione e di raccogliere le credenziali dai database.

La campagna ha tentato di sfruttare le vecchie vulnerabilità di cross-site scripting (XSS) nei plugin e nei temi di WordPress.

Gli attacchi miravano a scaricare wp-config.php, un file fondamentale per tutte le installazioni di WordPress. Il file si trova nella root delle directory dei file di WordPress e contiene le credenziali del database dei siti Web e le informazioni di connessione, oltre alle chiavi di autenticazione uniche.

Scaricando i file di configurazione dei siti, un aggressore avrebbe accesso al database del sito, dove sono memorizzati i contenuti e le credenziali del sito.

Tra il 29 e il 31 maggio i ricercatori di Wordreference hanno osservato (e sono stati in grado di bloccare) oltre 130 milioni di attacchi contro 1,3 milioni di siti.

I ricercatori hanno collegato il Criminal Hacker coinvolto in questo incidente a un attacco sferrato all’inizio di maggio che sfruttava le vulnerabilità XSS. Queste campagne precedenti, iniziate il 28 aprile, hanno tentato di iniettare un JavaScript dannoso nei siti web, che avrebbe poi reindirizzato i visitatori e sfruttato la sessione di un amministratore per inserire una backdoor nell’header di vari siti.

Ma non solo, i Criminal Hacker stavano anche attaccando anche altre vulnerabilità, soprattutto quelle più vecchie che permettevano di cambiare l’URL di un sito con lo stesso dominio utilizzato nel payload XSS per reindirizzare i visitatori verso i siti di malvertising.

La campagna osservata ad aprile ha inviato attacchi da oltre 20mila indirizzi IP diversi, gli stessi utilizzati lo scorso weekend.

Il caso più recente, però, ha visto anche un espansione nel numero dei target, raggiungendo ora quasi un milione di nuovi siti che non erano inclusi nella precedente campagna XSS. Come accennato però, quasi tutti gli attacchi sono mirati a vulnerabilità più vecchie in plugin o temi obsoleti che permettono di scaricare o esportare file.

Sembra che l’aggressore stia sistematicamente raschiando exploit-db.com e altre fonti per potenziali exploit per poi confrontarli con un elenco di siti.

Come proteggersi

Onde evitare qualsiasi rischio, i siti web che potrebbero essere stati compromessi, devono cambiare immediatamente la password del loro database e le chiavi di autenticazione uniche.

Se il vostro server è configurato per consentire l’accesso remoto al database, un aggressore con le vostre credenziali di database potrebbe facilmente aggiungere un utente con privilegi da amministratore, estrarre dati sensibili o cancellare il vostro sito.

Anche se il vostro sito non consente l’accesso remoto al database, un aggressore che conosce le chiavi di autenticazione del vostro sito potrebbe utilizzarli per bypassare più facilmente altri meccanismi di sicurezza.

Non va dimenticato neppure l’aggiornamento dei plugin, poiché le vulnerabilità nei plugin e nei temi di WordPress continuano ad essere un problema.

Per questa recente campagna, molti dei difetti avevano delle patch disponibili – ma gli utenti non avevano aggiornato, lasciando i loro siti web vulnerabili.

Data la tipologia dell’attacco, infatti, non è da escludere che una campagna simile possa prendere piede anche nel breve periodo…