È stato scoperto che il plug-in di sicurezza WordPress All-In-One Security (AIOS), utilizzato da oltre un milione di siti WordPress, registrava le password in chiaro dai tentativi di accesso degli utenti al database del sito, mettendo a rischio la sicurezza dell’account.
AIOS è una soluzione all-in-one sviluppata da Updraft, che offre firewall per applicazioni web, protezione dei contenuti e strumenti di sicurezza dell’accesso per i siti WordPress, promettendo di fermare i bot e prevenire attacchi di forza bruta.
Circa tre settimane fa, un utente riportato che il plugin AIOS v5.1.9 non solo registrava i tentativi di accesso degli utenti al aiowps_audit_log tabella del database, utilizzata per tenere traccia di accessi, disconnessioni ed eventi di accesso non riusciti ma anche per registrare la password immessa.
L’utente ha espresso preoccupazione per il fatto che questa attività violi diversi standard di conformità alla sicurezza, tra cui NIST 800-63 3, ISO 27000 e GDPR.
Prima segnalazione del difetto(wordpress.org)
Tuttavia, l’agente dell’assistenza di Updraft ha risposto dicendo che si trattava di un “bug noto” e promettendo vagamente che una correzione sarebbe stata disponibile nella prossima versione.
Dopo aver realizzato la criticità del problema, il supporto ha offerto build di sviluppo della prossima versione agli utenti interessati due settimane fa. Tuttavia, coloro che hanno tentato di installare le build di sviluppo hanno segnalato problemi al sito Web e che i registri delle password non sono stati rimossi.
Correzione ora disponibile
Alla fine, l’11 luglio, il fornitore AIOS ha rilasciato la versione 5.2.0, che include una correzione per impedire il salvataggio delle password in testo normale e cancellare le vecchie voci.
“La versione 5.2.0 di AIOS e gli aggiornamenti più recenti hanno corretto un bug nella versione 5.1.9 che faceva sì che le password degli utenti venissero aggiunte al database WordPress in formato testo normale”, si legge nel comunicato. annuncio di rilascio.
“Sarebbe un problema se [malicious] gli amministratori del sito dovevano provare quelle password su altri servizi in cui i tuoi utenti avrebbero potuto utilizzare la stessa password.”
Se i dettagli di accesso delle persone esposte non sono protetti dall’autenticazione a due fattori su queste altre piattaforme, gli amministratori non autorizzati potrebbero facilmente impossessarsi dei loro account.
A parte lo scenario di amministrazione dannosa, i siti Web che utilizzano AIOS si troverebbero ad affrontare un rischio elevato di violazioni da parte degli hacker, poiché un malintenzionato che accedesse al database del sito potrebbe esfiltrare le password degli utenti in formato testo normale.
Nel momento in cui scrivo, Statistiche di WordPress.org mostrano che circa un quarto degli utenti AIOS ha applicato l’aggiornamento alla 5.2.0, quindi più di 750.000 siti rimangono vulnerabili.
Sfortunatamente, poiché WordPress è un obiettivo comune per gli autori delle minacce, esiste la possibilità che alcuni dei siti che utilizzano AIOS siano già stati compromessi e, considerando che il problema circola online ormai da tre settimane, gli hacker hanno avuto molte opportunità di trarne vantaggio. la risposta lenta del creatore del plugin.
Inoltre, è un peccato che in nessun momento durante il periodo di esposizione Updraft abbia avvertito i propri utenti dell’elevato rischio di esposizione, consigliandoli sulle azioni da intraprendere.
I siti Web che utilizzano AIOS dovrebbero ora aggiornarsi alla versione più recente e chiedere agli utenti di reimpostare le proprie password.
I plug-in di WordPress consentono alle organizzazioni di estendere rapidamente le funzionalità dei propri siti Web senza richiedere alcuna codifica o competenze tecniche avanzate. Ma negli ultimi anni sono stati anche la principale fonte di rischio per i gestori di siti web.
L’esempio più recente è una vulnerabilità critica legata all’escalation dei privilegi in un plug-in utilizzato da oltre 1 milione di siti Web WordPress, chiamato Essential Addons for Elementor Plugin.La vulnerabilità, tracciata come CVE-2023-32243, colpisce le versioni dalla 5.4.0 alla 5.7.1 del plug-in e consente a un utente malintenzionato non autenticato di aumentare i privilegi a quelli di qualsiasi utente sul sito WordPress, incluso quello di un amministratore.
Difetto di escalation dei privilegi
I ricercatori di Patchstack hanno scoperto la vulnerabilità l’8 maggio e l’hanno comunicata a WPDeveloper, l’autore di Essential Addons for Elementor. WPDeveloper l’11 maggio ha rilasciato una nuova versione del software (versione 5.7.2) che risolve il bug. Il venditore ha descritto la nuova versione come dotata di un miglioramento della sicurezza nel modulo di accesso e registrazione per il software.
Secondo Patchstack, il bug ha a che fare con il codice di Essential Addons che reimposta le password senza verificare se le chiavi di reimpostazione della password associate sono presenti e legittime. Ciò offre a un utente malintenzionato non autenticato un modo per reimpostare la password di qualsiasi utente su un sito WordPress interessato e accedere al proprio account.
“Questa vulnerabilità si verifica perché [the] la funzione di reimpostazione della password non convalida una chiave di reimpostazione della password e modifica invece direttamente la password dell’utente specificato,” Patchstack ha detto in un post.
Il nuovo bug è una delle migliaia di vulnerabilità che i ricercatori hanno scoperto nei plug-in di WordPress negli ultimi anni.
Patchstack contava 4.528 nuove vulnerabilità nei plug-in di WordPress solo nel 2022, un sorprendente aumento del 328% rispetto ai 1.382 osservati nel 2021. I plug-in hanno rappresentato il 93% dei bug segnalati nell’ambiente WordPress nel 2022. Solo lo 0,6% dei bug confermati erano nel core piattaforma WordPress stessa. Circa il 14% dei bug era di gravità elevata o critica.
Una raffica incessante di difetti
Anche quest’anno la tendenza è continuata senza sosta. iThemes, una società che tiene traccia settimanalmente dei difetti dei plug-in di WordPress contato 160 vulnerabilità solo nel periodo di una settimana terminato il 26 aprile. I bug hanno colpito circa 8 milioni di siti Web WordPress e solo 68 di essi erano dotati di patch al momento della divulgazione della vulnerabilità.
Proprio la scorsa settimana, Patchstack ha segnalato un’altra vulnerabilità di escalation dei privilegi in un diverso plug-in di WordPress (Advanced Custom Fields Plugins) che ha interessato due milioni di siti web. La vulnerabilità ha offerto agli aggressori un modo sia per rubare dati sensibili dai siti interessati sia per aumentarne i privilegi.
Ad aprile, Sucuri ha riferito di una campagna denominata “Balada Injector”, in cui un autore di minacce, almeno negli ultimi cinque anni, è stato iniettando sistematicamente malware nei siti WordPress tramite plug-in vulnerabili. Il fornitore di sicurezza ha valutato che l’autore della minaccia dietro la campagna aveva infettato almeno un milione di siti WordPress con malware che reindirizzavano i visitatori del sito a siti di supporto tecnico falsi, siti di lotterie fraudolente e altri siti di truffa.
Sucuri ha scoperto che l’autore della minaccia utilizzava le vulnerabilità appena scoperte e, in alcuni casi, i bug zero-day per lanciare massicce ondate di attacchi contro i siti WordPress.
Gran parte dell’interesse degli aggressori per l’ecosistema WordPress ha a che fare con il suo utilizzo diffuso. Le stime sul numero esatto di siti WordPress in tutto il mondo variano ampiamente e alcuni fissano il numero verso l’alto 800 milioni. Il sito web di sondaggi tecnologici W3Techs, che alcuni considerano una fonte affidabile per le statistiche relative a WordPress, stima che alcuni Il 43% di tutti i siti web in tutto il mondo attualmente utilizzano WordPress.
Secondo Patchstack, il numero crescente di vulnerabilità segnalate nell’ecosistema WordPress non è necessariamente un segno che gli sviluppatori di plug-in stiano diventando più negligenti. Ciò che indica piuttosto è che i ricercatori di sicurezza stanno esaminando più attentamente.
“Ciò significa anche che l’ecosistema WordPress sta diventando più sicuro perché molti di questi bug di sicurezza vengono affrontati e corretti”, ha affermato Patchstack.
È stato scoperto che il plugin WordPress WPCode – Insert Headers and Footers + Custom Code Snippets, con oltre un milione di installazioni, presenta una vulnerabilità che potrebbe consentire all’aggressore di eliminare file sul server.
L’avviso della vulnerabilità è stato pubblicato nel National Vulnerability Database (NVD) del governo degli Stati Uniti.
Inserisci plugin intestazioni e piè di pagina
Il plugin WPCode (precedentemente noto come Insert Headers and Footers di WPBeginner), è un plugin popolare che consente agli editori di WordPress di aggiungere snippet di codice all’area dell’intestazione e del piè di pagina.
Ciò è utile per gli editori che devono aggiungere un codice di convalida del sito di Google Search Console, codice CSS, dati strutturati, persino codice AdSense, praticamente tutto ciò che appartiene all’intestazione o al piè di pagina di un sito web.
Vulnerabilità relativa alla falsificazione delle richieste tra siti (CSRF).
Il plug-in WPCode – Insert headers and Footers precedente alla versione 2.0.9 contiene ciò che è stato identificato come vulnerabilità Cross-Site Request Forgery (CSRF).
Un attacco CSRF si basa sull’inganno di un utente finale registrato sul sito WordPress a fare clic su un collegamento che esegue un’azione indesiderata.
L’aggressore sostanzialmente utilizza le credenziali dell’utente registrato per eseguire azioni sul sito su cui l’utente è registrato.
Quando un utente che ha effettuato l’accesso a WordPress fa clic su un collegamento contenente una richiesta dannosa, il sito è obbligato a eseguire la richiesta perché utilizza un browser con cookie che identifica correttamente l’utente come connesso.
L’aggressore conta sull’azione dannosa che l’utente registrato sta eseguendo inconsapevolmente.
L’organizzazione no-profit Open Worldwide Application Security Project (OWASP) descrive una vulnerabilità CSRF:
“Cross-Site Request Forgery (CSRF) è un attacco che costringe un utente finale a eseguire azioni indesiderate su un’applicazione web in cui è attualmente autenticato.
Con un piccolo aiuto di ingegneria sociale (come l’invio di un collegamento via e-mail o chat), un utente malintenzionato può ingannare gli utenti di un’applicazione Web inducendoli a eseguire le azioni scelte dall’utente malintenzionato.
Se la vittima è un utente normale, un attacco CSRF riuscito può costringere l’utente a eseguire richieste di modifica dello stato come il trasferimento di fondi, la modifica del proprio indirizzo e-mail e così via.
Se la vittima è un account amministrativo, CSRF può compromettere l’intera applicazione web.”
IL Enumerazione delle debolezze comuni (CWE), sponsorizzato dal Dipartimento per la Sicurezza Interna degli Stati Uniti, offre una definizione di questo tipo di CSRF:
“L’applicazione web non verifica, o non può, verificare in modo sufficiente se una richiesta ben formata, valida e coerente è stata intenzionalmente fornita dall’utente che ha inviato la richiesta.
…Quando un server web è progettato per ricevere una richiesta da un client senza alcun meccanismo per verificare che sia stata inviata intenzionalmente, allora potrebbe essere possibile per un utente malintenzionato ingannare un client facendogli fare una richiesta involontaria al server web che verrà trattata come richiesta autentica.
Ciò può essere fatto tramite un URL, caricamento di immagini, XMLHttpRequest, ecc. e può comportare l’esposizione di dati o l’esecuzione involontaria di codice.
In questo caso particolare le azioni indesiderate si limitano all’eliminazione dei file di registro.
Il National Vulnerability Database ha pubblicato i dettagli della vulnerabilità:
“Il plugin WordPress WPCode precedente alla 2.0.9 presenta un CSRF difettoso durante l’eliminazione del registro e non garantisce che il file da eliminare sia all’interno della cartella prevista.
Ciò potrebbe consentire agli aggressori di fare in modo che gli utenti con la funzionalità wpcode_activate_snippets eliminino file di registro arbitrari sul server, anche al di fuori delle cartelle del blog.
Il sito Web WPScan (di proprietà di Automattic) ha pubblicato una prova di concetto della vulnerabilità.
Una prova di concetto, in questo contesto, è il codice che verifica e dimostra che una vulnerabilità può funzionare.
"Make a logged in user with the wpcode_activate_snippets capability open the URL below
https://example.com/wp-admin/admin.php?page=wpcode-tools&view=logs&wpcode_action=delete_log&log=../../delete-me.log
This will make them delete the ~/wp-content/delete-me.log"
Seconda vulnerabilità per il 2023
Questa è la seconda vulnerabilità scoperta nel 2023 per il plugin WPCode Insert Headers and Footers.
Nel febbraio 2023 è stata scoperta un’altra vulnerabilità, che interessava le versioni 2.0.6 o precedenti, che la società di sicurezza Wordfence WordPress ha descritto come una vulnerabilità “Autorizzazione mancante alla divulgazione/aggiornamento di chiavi sensibili.”
Secondo il rapporto sulla vulnerabilità NVD, la vulnerabilità ha colpito anche le versioni fino alla 2.0.7.
“Il plugin WordPress WPCode precedente alla 2.0.7 non dispone di adeguati controlli dei privilegi per diverse azioni AJAX, ma controlla solo il nonce.
Ciò potrebbe portare a consentire a qualsiasi utente autenticato che può modificare i post di chiamare gli endpoint relativi all’autenticazione della libreria WPCode (come aggiornare ed eliminare la chiave di autenticazione).”
WPCode ha rilasciato una patch di sicurezza
Il registro delle modifiche per il plug-in WordPress WPCode – Inserisci intestazioni e piè di pagina rileva responsabilmente che è stato risolto un problema di sicurezza.
“Correzione: rafforzamento della sicurezza per l’eliminazione dei registri.”
La notazione del log delle modifiche è importante perché avvisa gli utenti del plugin del contenuto dell’aggiornamento e consente loro di prendere una decisione informata se procedere con l’aggiornamento o attendere quello successivo.
WPCode ha agito in modo responsabile rispondendo tempestivamente alla scoperta della vulnerabilità e annotando anche la correzione di sicurezza nel registro delle modifiche.
Azioni consigliate
Si consiglia agli utenti del plug-in WPCode – Inserisci intestazioni e piè di pagina di aggiornare il proprio plug-in almeno alla versione 2.0.9.
La versione più aggiornata del plugin è la 2.0.10.
Leggi informazioni sulla vulnerabilità sul sito web di NVD:
Se utilizzi WordPress, devi prendere in considerazione uno o più di questi plugin di sicurezza per proteggere il tuo sito web dagli attacchi.
Immagine: Tierney/Adobe Stock
WordPress è uno dei sistemi di gestione dei contenuti più utilizzati al mondo. Con oltre il 43% dei siti web che utilizzano la piattaforma, non sorprende che abbia un obiettivo alle calcagna. Ciò non solo significa che gli sviluppatori di WordPress devono lavorare sempre duramente per proteggere il proprio software, ma richiede anche che coloro che distribuiscono i siti siano diligenti riguardo alla sicurezza.
Anche se WordPress è in qualche modo sicuro, non può prevenire da solo i malintenzionati. A tal fine, ogni amministratore deve prendere in considerazione l’aggiunta di plug-in di terze parti per rafforzare la sicurezza.
Fortunatamente, ci sono molti plugin relativi alla sicurezza disponibili per WordPress. Ma poiché ce ne sono così tanti, quali dovresti usare? Ho messo insieme i primi cinque plugin che utilizzo sempre per ogni sito WordPress (solo uno dei quali è installato per impostazione predefinita). Diamo un’occhiata a questi cinque plugin per vedere se saranno adatti alle tue esigenze.
Jetpack
Immagine: Jetpack
Jetpack è un plugin di sicurezza tutto in uno per WordPress sviluppato e gestito dalle stesse persone che hanno creato WordPress e WooCommerce. Ciò significa che non solo integra e protegge i tuoi siti WordPress, ma anche i tuoi negozi WooCommerce. Jetpack fa un ottimo lavoro tenendoti al passo con le misure di sicurezza, anti-spam, backup e protezione, monitoraggio dei tempi di inattività, blocco della forza bruta e protezione dell’accesso.
Jetpack può scansionare il tuo sito per rilevare modifiche ai file principali di WordPress, shell basate sul Web e vulnerabilità di TimThumb (che consentono agli hacker di caricare ed eseguire codice PHP arbitrario nella directory della cache di timthumb).
Jetpack offre piani gratuiti e a pagamento. Per i singoli utenti sarà sufficiente il piano gratuito. Per gli utenti aziendali, uno dei piani a pagamento dovrebbe essere considerato un must. Esistono tre piani a pagamento, tra cui Backup ($ 4,92 al mese) che offre backup su cloud in tempo reale; Sicurezza ($ 12,42/mese) che aggiunge tutte le funzionalità di backup, scansione malware in tempo reale e protezione dallo spam nei commenti/moduli; e Complete ($49,92/mese) che aggiunge VideoPress, ricerca nel sito fino a 100.000 record e CRM Entrepreneur.
Ferma gli spammer
Immagine: Stop agli spammer
Ferma gli spammer è uno dei migliori strumenti per bloccare lo spam di WordPress. Ciò è particolarmente vero se hai abilitato i commenti per post, pagine e prodotti. Senza Stop Spammers, troverai le sezioni dei tuoi commenti inondate di spam. Con Stop Spammers ottieni un dashboard facile da usare, whitelist di indirizzi IP, blocklist, reCAPTCHA, approvazioni di richieste, connessione a StopFormSpam.com, visualizzazione della cache, report di registro, controlli dell’elenco DNSBL, ricerche e diagnostica di Stop Spam nei forum.
L’unico avvertimento sull’utilizzo di Stop Spammers è che non è possibile utilizzarlo insieme a Jetpack. Quindi, se ritieni che Jetpack includa alcune funzionalità indispensabili, scegli Jetpack, altrimenti lo è Stop Spammers IL plugin da utilizzare per impedire agli spammer di fare quello che fanno.
Sicurezza di Wordfence
Immagine: Wordfence
Sicurezza di Wordfence è un altro must per chiunque voglia proteggere le proprie distribuzioni di WordPress. Questo plug-in include un firewall, scansione dei problemi di sicurezza (configurazioni di scansione, file di quarantena, file principali, file di temi, file di plug-in e altro), protezione da malware, controlli della reputazione, opzioni di prestazioni (come scansione di risorse scarse), esclusione di file dalle scansioni, accesso sicurezza (incluso 2FA), scansioni del traffico in tempo reale, blocco IP, WhoisLookup e altro ancora. Wordfence Security dovrebbe essere uno dei primi plugin che aggiungi ai tuoi siti. E se stai cercando un solo plugin per fare tutto, è proprio questo.
È disponibile un piano gratuito e tre piani a pagamento (Premium per $ 99/anno, Wordfence Care per $ 490/anno e Wordfence Response per $ 950/anno). Se sei un privato, scegli il piano gratuito o premium. Se la tua attività dipende da WordPress, prendi in considerazione il piano Care o Response. Utilizzo il piano gratuito da anni e mi è servito molto bene.
WP2FA
Immagine: WP 2FA
Autenticazione a due fattori non dovrebbe più essere considerata un’opzione. E sebbene molti plugin di sicurezza aggiungano 2FA al mix, ho sempre trovato WP 2FA l’opzione migliore per la sicurezza dell’accesso. WP 2FA non solo funziona esattamente come previsto, ma quando tenti di accedere al tuo sito WordPress, invia immediatamente il codice di accesso al tuo indirizzo email associato. Ho trovato altri plugin simili che impiegano un po’ troppo tempo per inviare quei codici.
Con WP 2FA puoi applicare la 2FA a tutti gli utenti, utenti specifici o utenti/ruoli specifici. Sebbene WP 2FA sia piuttosto semplice (non offre molti fronzoli), quello che fa lo fa molto bene.
Anche se non hai utenti sul tuo sito, hai comunque un amministratore che deve accedere e a quell’account dovrebbe sicuramente essere richiesto di utilizzare l’autenticazione a 2 fattori. WP 2FA offre un account gratuito e un piano Premium, che aggiunge dispositivi affidabili, etichettatura bianca e policy per i ruoli utente.
SSL davvero semplice
Immagine: SSL davvero semplice
Se vuoi che il tuo sito utilizzi SSL, il modo più semplice per farlo è con il file SSL davvero semplice collegare. Questo plugin forza semplicemente i siti WordPress a utilizzare SSL, in modo che gli utenti possano accedere a HTTPS anziché HTTP. Mi sono imbattuto in diverse occasioni in cui un servizio di hosting utilizza certificati SSL, ma una distribuzione WordPress non li rispetta e visualizza il sito come non sicuro. Al giorno d’oggi, assicurarsi che gli utenti sappiano che sono sicuri sul tuo sito è una caratteristica importante da non trascurare. È allora che mi rivolgo a Really Simple SSL.
Questo plugin fa un ottimo lavoro nel rilevare automaticamente le tue impostazioni e configura il tuo sito per l’esecuzione su HTTPS. In teoria, tutto ciò che dovresti fare è installare e abilitare il plugin e tutto dovrebbe funzionare. Ho scoperto che è così. L’unico avvertimento sull’utilizzo di Really Simply SSL è che i certificati SSL devono essere abilitati per il tuo sito, poiché il plug-in non crea o installa certificati per te. Ma se hai già abilitato i certificati SSL sul tuo sito e WordPress non li rispetta, questo è il modo più semplice per risolvere il problema.
Gli utenti del plugin Advanced Custom Fields per WordPress sono invitati ad aggiornare la versione 6.1.6 in seguito alla scoperta di una falla di sicurezza.
Il problema, a cui è stato assegnato l’identificatore CVE-2023-30777, si riferisce a un caso di cross-site scripting (XSS) riflesso che potrebbe essere utilizzato in modo improprio per iniettare script eseguibili arbitrari in siti Web altrimenti innocui.
Il plugin, disponibile sia in versione gratuita che pro, è terminato due milioni di installazioni attive. Il problema è stato scoperto e segnalato ai manutentori il 2 maggio 2023.
“Questa vulnerabilità consente a qualsiasi utente non autenticato di rubare informazioni sensibili e, in questo caso, di privilegiare l’escalation sul sito WordPress inducendo un utente privilegiato a visitare il percorso URL creato,” ha spiegato Rafie Muhammad, ricercatore di Patchstack. disse.
XSS riflesso Gli attacchi di solito si verificano quando le vittime vengono indotte con l’inganno a fare clic su un collegamento fasullo inviato via e-mail o tramite un altro percorso, provocando l’invio del codice dannoso al sito Web vulnerabile, che riflette l’attacco al browser dell’utente.
Questo elemento di ingegneria sociale fa sì che l’XSS riflesso non abbia la stessa portata e portata degli attacchi XSS archiviati, spingendo gli autori delle minacce a distribuire il collegamento dannoso al maggior numero possibile di vittime.
“[A reflected XSS attack] è tipicamente il risultato di richieste in arrivo non sufficientemente disinfettate, il che consente la manipolazione delle funzioni di un’applicazione web e l’attivazione di script dannosi,” Imperva Appunti.
Vale la pena notare che CVE-2023-30777 può essere attivato su un’installazione o configurazione predefinita di Campi personalizzati avanzati, sebbene sia possibile farlo anche da utenti registrati che hanno accesso al plug-in.
Lo sviluppo avviene quando Craft CMS ha corretto due difetti XSS di media gravità (CVE-2023-30177 E CVE-2023-31144) che potrebbe essere sfruttato da un autore di minacce per fornire payload dannosi.
Ne consegue inoltre la divulgazione di un’altra falla XSS nel prodotto cPanel (CVE-2023-29489Punteggio CVSS: 6.1) che potrebbe essere sfruttato senza alcuna autenticazione per eseguire JavaScript arbitrario.
“Un utente malintenzionato non può solo attaccare le porte di gestione di cPanel ma anche le applicazioni in esecuzione sulle porte 80 e 443”, Shubham Shah di Assetnote disseaggiungerlo potrebbe consentire a un avversario di dirottare la sessione cPanel di un utente valido.
“Una volta che si agisce per conto di un utente autenticato di cPanel, di solito è banale caricare una shell web e ottenere l’esecuzione del comando.”
CVE-2023-30777 è sottoposto a sfruttamento attivo
Gli autori delle minacce stanno sfruttando attivamente la falla di cross-site scripting (XSS) nel plugin Advanced Custom Fields di WordPress come parte di un’attività di scansione indiscriminata, ha affermato la società di sicurezza web Akamai divulgato in un rapporto pubblicato la settimana scorsa.
Gli attacchi sono iniziati “entro 24 ore dalla resa pubblica del PoC dell’exploit”, ha osservato la società, aggiungendo che l’autore della minaccia ha copiato e riutilizzato il codice di esempio rilasciato da Patchstack all’inizio di questo mese.
“Il tasso di sfruttamento delle vulnerabilità emergenti e recentemente rivelate rimane elevato e sta diventando più rapido”, ha affermato Ryan Barnett di Akamai. “La gestione delle patch è una parte fondamentale della strategia di sicurezza e riduzione dei rischi di un’organizzazione.”
Hai trovato interessante questo articolo? Seguici su Twitter E LinkedIn per leggere i contenuti più esclusivi che pubblichiamo.
22 dicembre 2023Sala stampaScrematura/Sicurezza web
I cacciatori di minacce hanno scoperto un plugin WordPress non autorizzato in grado di creare utenti amministratori fasulli e di iniettare codice JavaScript dannoso per rubare i dati delle carte di credito.
L’attività di scrematura fa parte di a Campagna Magecart prendendo di mira i siti di e-commerce, secondo Sucuri.
“Come molti altri plugin WordPress dannosi o falsi, contiene alcune informazioni ingannevoli nella parte superiore del file per dargli una patina di legittimità,” il ricercatore di sicurezza Ben Martin disse. “In questo caso, i commenti affermano che il codice è ‘Componenti aggiuntivi WordPress Cache.’”
Dopo l’installazione, il plugin si replica nel file mu-plugin (o plugin indispensabili) in modo che venga automaticamente abilitato e nasconda la sua presenza dal pannello di amministrazione.
“Poiché l’unico modo per rimuovere uno qualsiasi dei mu-plugin è rimuovere manualmente il file, il malware fa di tutto per impedirlo,” ha spiegato Martin. “Il malware ottiene questo risultato annullando la registrazione delle funzioni di callback per gli hook utilizzati normalmente da plugin come questo.”
Il plug-in fraudolento include anche un’opzione F per creare e nascondere un account utente amministratore all’amministratore legittimo del sito Web per evitare di sollevare segnali d’allarme e avere un accesso prolungato all’obiettivo per periodi di tempo prolungati.
L’obiettivo finale della campagna è iniettare malware per il furto di carte di credito nelle pagine di pagamento ed esfiltrare le informazioni in un dominio controllato da attori.
“Poiché molte infezioni di WordPress si verificano da parte di utenti amministratori wp-admin compromessi, è ovvio che abbiano dovuto lavorare entro i limiti dei livelli di accesso di cui dispongono, e l’installazione di plugin è sicuramente una delle abilità chiave che gli amministratori di WordPress possiedono “, ha detto Martino.
La divulgazione arriva settimane dopo la comunità di sicurezza di WordPress avvertito di una campagna di phishing che avvisa gli utenti di una falla di sicurezza non correlata nel sistema di gestione dei contenuti web e li induce con l’inganno a installare un plugin sotto le mentite spoglie di una patch. Il plugin, da parte sua, crea un utente amministratore e distribuisce una shell web per l’accesso remoto persistente.
Sucuri ha affermato che gli autori delle minacce dietro la campagna stanno sfruttando il “RISERVATO” stato associato a un identificatore CVE, che si verifica quando è stato riservato per l’uso da parte di un’autorità di numerazione CVE (CNA) o di un ricercatore di sicurezza, ma i dettagli devono ancora essere riempiti.
Viene anche come società di sicurezza del sito web scoperto un’altra campagna Magecart che utilizza il protocollo di comunicazione WebSocket per inserire il file codice dello schiumatoio sulle vetrine online. Il malware viene quindi attivato facendo clic su un falso pulsante “Completa ordine” sovrapposto al pulsante di pagamento legittimo.
Il rapporto di Europol sulle frodi online pubblicato questa settimana descrive lo skimming digitale come una minaccia persistente che provoca il furto, la rivendita e l’uso improprio dei dati delle carte di credito. “Un’importante evoluzione nello skimming digitale è il passaggio dall’uso di malware front-end a malware back-end, rendendolo più difficile da rilevare”, si legge disse.
L’agenzia di contrasto dell’UE disse ha inoltre informato 443 commercianti online che i dati delle carte di credito o di pagamento dei loro clienti erano stati compromessi tramite attacchi di skimming.
Group-IB, che ha anche collaborato con Europol nell’operazione di lotta alla criminalità informatica transfrontaliera nome in codice Digital Skimming Action, ha affermato di aver rilevato e identificato 23 famiglie di JS-sniffer, tra cui ATMZOW, Health_check, FirstKiss, FakeGA, AngryBeaver, Inter e R3nin, che sono stati utilizzati contro aziende in 17 paesi diversi in Europa e nelle Americhe.
“In totale, alla fine del 2023, sono note 132 famiglie di JS-sniffer che hanno compromesso siti web in tutto il mondo,” ha affermato l’azienda con sede a Singapore. aggiunto.
Non è tutto. È stato scoperto che annunci fasulli su Ricerca Google e Twitter per piattaforme di criptovaluta promuovono un drenatore di criptovaluta denominato MS Drainer che si stima abbia già saccheggiato 58,98 milioni di dollari da 63.210 vittime da marzo 2023 attraverso una rete di 10.072 siti Web di phishing.
“Prendendo di mira un pubblico specifico attraverso i termini di ricerca di Google e la seguente base di X, è possibile selezionare obiettivi specifici e lanciare continue campagne di phishing a un costo molto basso,” ScamSniffer disse.
Hai trovato interessante questo articolo? Seguici su Twitter E LinkedIn per leggere i contenuti più esclusivi che pubblichiamo.
Sfruttare i social media per promuovere il tuo sito WordPress richiede solo pochi semplici plugin.
Ecco un elenco di plugin di social media per WordPress. Sono disponibili plug-in per visualizzare icone da centinaia di social network, pianificare e automatizzare la pubblicazione, monitorare il coinvolgimento e altro ancora. Alcuni di questi plugin sono autonomi, mentre altri sono forniti in bundle con set più grandi di Strumenti WordPress. Quasi tutti i plugin sono gratuiti, anche se la maggior parte ha anche piani premium.
Plugin di social media per WordPress
Shareaholic fornisce un set completo di strumenti di marketing per interagire con il tuo pubblico, farti trovare nella ricerca e sui social e far crescere il tuo seguito con l’accesso a oltre 40 pulsanti Segui. Aggiungi pulsanti di condivisione ovunque nel tuo layout. Aggiungi pulsanti di condivisione intelligenti alle tue immagini. Condividi e consiglia contenuti, analizza le prestazioni in un’unica dashboard e genera entrate con annunci nativi, link di affiliazione e altro ancora. Prezzo: Basic è gratuito. I piani premium partono da $ 8 al mese.
Shareaholic
Rianima i vecchi post ti consente di pianificare contenuti vecchi e nuovi da condividere sui social media. Pubblica automaticamente sui social media non appena fai clic sul pulsante di pubblicazione o non appena il contenuto viene pubblicato automaticamente. Scegli l’età massima e minima dei post idonei alla condivisione. Crea hashtag comuni per le condivisioni dei post e altro ancora. Prezzo: gratuito. I piani premium partono da $ 75 all’anno.
NextScript SNAP pubblica automaticamente post nuovi o esistenti dal tuo blog ai tuoi account di social media, come Facebook, Twitter, LinkedIn, InstagramPinterest, YouTube e altro ancora. I filtri ti consentono di pubblicare solo categorie, tag e tipi di post specificati. I post sono interamente in white label. Prezzo: gratuito per un account per social network. Pro costa $ 49,95 all’anno.
Monarca ti consente di scegliere tra oltre 20 reti di condivisione social da visualizzare. Aggiungi e organizza un numero qualsiasi di reti disponibili per creare una raccolta personalizzata di opzioni di condivisione per i tuoi visitatori. Utilizza sei trigger pop-up e fly-in automatici per interazioni utente uniche. Prezzo: $ 89 all’anno.
Monarca
Feed di foto social di Smash Balloon ti consente di visualizzare i post di Instagram dai tuoi account Instagram, nello stesso feed singolo o in più feed. Personalizza larghezza, altezza, numero di foto, numero di colonne, dimensione dell’immagine, colore di sfondo, spaziatura dell’immagine e altro. Visualizza miniature e foto di medie o grandi dimensioni dal tuo feed Instagram. Include un pulsante “Segui su Instagram” nella parte inferiore del feed. Prezzo: gratuito. La versione Pro costa $ 49 all’anno.
Clicca per twittare ti consente di creare facilmente contenuti twittabili. Utilizza virgolette e messaggi personalizzati all’interno del corpo di un post del blog per evidenziare i tuoi contenuti per i lettori e semplificarne la condivisione su Twitter. Prezzo: gratuito.
Jetpack è un toolkit per progettare, proteggere e far crescere il tuo sito su WordPress. Jetpack include una varietà di funzionalità per promuovere un sito, tra cui icone di social media, widget per visualizzare reti, strumenti di distribuzione di social network e altro ancora. Pianifica le promozioni dei tuoi contenuti sui siti di social media. Aggiungi ulteriori condivisioni social per i post pubblicati in precedenza e pianificale per i giorni e gli orari che funzionano meglio per il tuo pubblico. Prezzo: Basic è gratuito. Il premio parte da $ 19,95 al mese.
Jetpack
Icone sociali semplici è un modo facile da usare e personalizzabile per visualizzare icone che collegano i visitatori ai tuoi vari profili social. Scegli a quali profili collegarti, personalizza il colore e le dimensioni delle tue icone e allineale a sinistra, al centro o a destra, tutto dal modulo del widget. Prezzo: gratuito.
MashShare fornisce funzionalità di condivisione social simili al layout su Mashable. MashShare ti consente di visualizzare un ampio contatore di condivisione totale accanto a tre grandi pulsanti di condivisione prominenti per Twitter, Facebook e l’opzione di posizionare un pulsante di iscrizione prominente per il tuo feed di notizie e la tua mailing list. Prezzo: gratuito. I componenti aggiuntivi partono da € 39.
Blog2Social ti consente di promuovere in modo incrociato, pianificare e condividere automaticamente i post del tuo blog su social network come Facebook, Twitter, Google My Business, LinkedIn, Instagram, Pinterest, Reddit, Medium e Telegram. Blog2Social crea automaticamente post sui social media per i tuoi contenuti e pubblica automaticamente nei momenti migliori per ciascuna rete. Risparmia il tempo e il fastidio di condividere e promuovere manualmente. Prezzo: gratuito. La versione Pro costa 99€ all’anno.
Guerra sociale è un plugin per aggiungere pulsanti di condivisione social al tuo sito e promuovere i tuoi contenuti social. Abbina i pulsanti al marchio del tuo sito web, con oltre 5.000 potenziali combinazioni di stile. Personalizza i tweet che vengono popolati quando un visitatore fa clic sul pulsante Twitter. Caricamento Specifico per Pinterest immagini e descrizioni. Visualizza i conteggi delle condivisioni social in modo ben visibile. Aggiungi un widget personalizzato per visualizzare i tuoi post più popolari. Progettati pensando alle prestazioni, questi pulsanti non rallenteranno il tuo sito. Prezzo: i piani partono da $ 29 all’anno.
Plugin di guerra
Icona mobile dei social media consente alle icone di apparire automaticamente. Utilizza widget di social media, codici brevi o codice PHP per visualizzare le icone dei social media ovunque. Il plugin include oltre 20 temi di icone, animazione di icone, supporto per widget e altro ancora. Le icone voleranno dall’alto a sinistra verso il basso a destra e rimarranno lì anche se l’utente scorre la pagina, quindi fluttua. Con il componente aggiuntivo potente, scegli dove iniziare l’animazione del volo dell’icona e dove terminare e rimanere. Prezzo: gratuito. Il componente aggiuntivo costa $ 24,49.
Nessun contenuto fornisce un calendario editoriale e assistente ai contenuti per aiutarti a pianificare, creare e promuovere il tuo blog. Pubblica automaticamente sui social network, tra cui Twitter, Facebook, LinkedIn, Instagram, Tumblr, Google My Business e Pinterest. Nelio Content include anche il supporto per Instagram tramite Buffer. Concentrati sui contenuti che funzionano meglio con l’analisi integrata. Prezzo: gratuito. Il premio è di $ 99 all’anno.
WordPress nel buffer pubblicherà automaticamente i contenuti sul tuo account Buffer, programmando la pubblicazione sui profili dei social media tra cui Facebook, Twitter e LinkedIn. Utilizza la pianificazione predefinita di Buffer o imposta la tua pianificazione con giorni e orari che funzionano meglio per il tuo pubblico. Prezzo: gratuito. I piani premium partono da $ 39 all’anno.
Aggiungi a qualsiasi pulsante di condivisione è un plugin per condividere post e pagine su reti, tra cui Facebook, Twitter, Pinterest, WhatsApp, LinkedIn e oltre 100 siti e app di condivisione e social media. È dotato di contatori di condivisione, pulsanti di condivisione mobili, pulsanti Segui per i social network più diffusi, icone vettoriali, integrazione di analisi e icone e posizionamento personalizzati. Prezzo: gratuito.
Di REBECCA RUTHERFORD Per il Los Alamos Daily Post
Se sei un blogger, è probabile che tu abbia utilizzato WordPress come piattaforma. È una delle più grandi piattaforme di blogger in circolazione. Se e quando aprirò il mio blog su gatti, cocktail e sicurezza informatica, probabilmente finirò anche per usarlo.
Detto questo, WordPress notoriamente non è eccezionale dal punto di vista della sicurezza. Software, plugin e temi obsoleti sono uno dei maggiori contributori a questo problema.
Per l’utente occasionale, mantenere tutto aggiornato in WordPress può essere difficile, ma senza questi aggiornamenti possono esserci seri problemi di sicurezza.
E ora i truffatori stanno sfruttando i timori degli utenti in termini di sicurezza in un’e-mail di phishing a tema WordPress. Questa campagna è stata catturata e segnalata daPatchStackEsperti di sicurezza WordPress.
Secondo quanto riferito, agli amministratori di WordPress vengono inviati via email falsi avvisi di sicurezza di WordPress per una falsa vulnerabilità tracciata come “CVE-2023-45124” nel tentativo di infettare i siti con un plugin dannoso.
Le e-mail falsificano WordPress, avvisando gli amministratori che sul sito dell’amministratore è stato rilevato un nuovo difetto critico di esecuzione del codice remoto (RCE) nella piattaforma, chiedendo loro di scaricare e installare un plug-in che risolverà il problema di sicurezza.
PatchStack di origine
Cos’è un RCE? Gli attacchi RCE (Remote Code Execution) consentiranno a un utente malintenzionato di eseguire in remoto codice dannoso su un computer. L’impatto di una vulnerabilità RCE può variare dall’esecuzione di malware all’acquisizione da parte di un utente malintenzionato del controllo totale su una macchina compromessa.
Se gli utenti fanno clic sul pulsante “Scarica plug-in” dell’e-mail, la vittima viene indirizzata a una pagina di destinazione falsa su “en-gb-wordpress”[.]org” che assomiglia esattamente al sito legittimo “wordpress.com”.
PatchStack di origine
Se giudichi app e plug-in in base alle recensioni degli utenti e al numero di download, ciò potrebbe sembrare legittimo, ma il numero di download e le recensioni sono falsi.
Dopo l’installazione, il plugin dannoso crea un utente amministratore nascosto e invia le informazioni della vittima al server C2 (comando e controllo) dell’aggressore. Cos’è un C2? Gli autori delle minacce utilizzano C2 per inviare comandi al proprio malware e per installare programmi dannosi, script dannosi e altro ancora.
Il plugin scarica quindi un payload backdoor codificato base64. Questa backdoor consente agli aggressori di controllare il computer della vittima. Il plugin dannoso si nasconde quindi dall’elenco dei plugin installati, richiedendo una ricerca manuale nella directory principale per essere disinstallato.
Secondo Patchstack, l’obiettivo finale di ciò non è chiaro, ma ipotizzano che potrebbe essere utilizzato per inserire annunci pubblicitari su siti compromessi, reindirizzare i visitatori, rubare informazioni sensibili o persino ricattare i proprietari minacciando di far trapelare i contenuti del database del loro sito web.
Se sei un amministratore di WordPress, fai attenzione a questa truffa e non fare clic su quel collegamento!
Nota dell’editore: Rebecca Rutherford lavora nel campo della tecnologia dell’informazione presso il Los Alamos National Laboratory.
