Blog

I ricercatori di sicurezza hanno avvisato gli utenti di un popolare plugin di WordPress che devono applicare urgentemente una patch per non rischiare che il loro sito venga dirottato da remoto.

Il fornitore di sicurezza Wordfence ha rivelato una nuova vulnerabilità di iniezione di codice PHP con un punteggio CVSS di 9,8, che potrebbe consentire l’esecuzione di codice in modalità remota (CVE-2023-6553). Si stima che il plugin interessato, Backup Migration, abbia circa 90.000 installazioni.

Gli autori di minacce non autenticate potrebbero sfruttare il bug per iniettare codice PHP arbitrario, compromettendo l’intero sito.

“Il plug-in Backup Migration per WordPress è vulnerabile all’esecuzione di codice remoto in tutte le versioni fino alla 1.3.7 inclusa tramite il file /includes/backup-heart.php”, ha affermato Wordfence.

“Ciò è dovuto al fatto che un utente malintenzionato è in grado di controllare i valori passati a un include e successivamente di sfruttarli per ottenere l’esecuzione di codice in modalità remota. Ciò consente agli autori di minacce non autenticati di eseguire facilmente codice sul server”.

Maggiori informazioni sui difetti dei plugin WordPress: Bug WooCommerce sfruttato negli attacchi WordPress mirati

La vulnerabilità è stata risolta rapidamente dallo sviluppatore di Backup Migration BackupBliss, poche ore dopo essere stato informato da Wordfence il 6 dicembre.

È stato scoperto da un ricercatore tramite il programma Wordfence Bug Bounty, istituito l’8 novembre. La ricerca è stata presentata al programma il 5 dicembre e Wordfence ha convalidato e confermato un exploit proof-of-concept il giorno dopo.

Lo stesso giorno, ha rilasciato una regola firewall per proteggere i clienti e ha inviato i dettagli a BackupBliss.

Wordfence ha strombazzato l’output del suo programma bug bounty. Nel giro di appena un mese, oltre 270 ricercatori di vulnerabilità hanno registrato e presentato circa 130 vulnerabilità reclamato.

Fino al 20 dicembre, tutti i ricercatori guadagneranno 6,25 volte le normali percentuali di ricompensa del programma quando Wordfence gestirà la divulgazione responsabile.

Credito immagine: David MG/Shutterstock.com

Oltre 90.000 siti Web sono attualmente a rischio a causa di una vulnerabilità rilevata nel plug-in di migrazione del backup di WordPress. Questa vulnerabilità ha consentito l’esecuzione di codice remoto non autenticato, consentendo a potenziali aggressori di accedere a questi siti Web.

Un gruppo di ricercatori del Nex Team ha scoperto la vulnerabilità mentre partecipava al programma Wordfence Bug Bounty.

Vale la pena notare che alla vulnerabilità CVE-2023-6553, che consente l’esecuzione di codice in modalità remota, è stato assegnato un punteggio di gravità critica pari a 9,8.

Questa vulnerabilità consente l’inserimento e l’esecuzione di codice PHP arbitrario da parte di autori di minacce non autenticati su siti WordPress che utilizzano questo plugin.

Il plugin Backup Migration per WordPress presenta una vulnerabilità in tutte le versioni fino alla 1.3.7 inclusa, che consente agli aggressori di eseguire codice remoto.

La vulnerabilità è presente nel file /includes/backup-heart.php e consente agli aggressori di ottenere accesso non autorizzato a dati sensibili ed eseguire codice dannoso sul sito web.

Supponiamo che un utente malintenzionato ottenga il controllo di un computer di destinazione attraverso alcune vulnerabilità e acquisisca il potere di eseguire comandi su quel computer remoto. In tal caso, questo processo è chiamato Remote Code Execution (RCE).

Ciò indica che BMI_ROOT_DIR è modificabile dall’utente. Gli autori delle minacce possono sfruttare questa vulnerabilità per inserire codice PHP dannoso nelle richieste ed eseguire comandi arbitrari sul server sottostante nel contesto di sicurezza dell’istanza WordPress.

Dopo l’incidente è stata rilasciata una nuova versione, la 1.3.8, che includeva una patch per risolvere il problema.

Si consiglia di aggiornare il plugin alla versione più recente il prima possibile per prevenire lo sfruttamento di questa vulnerabilità.

Yoast SEO, uno dei plugin SEO per WordPress più popolari, è stato finalmente adottato IndiceOrail protocollo supportato da Microsoft per inviare contenuti ai motori di ricerca. Questo è disponibile nella versione premium di Yoast SEO versione 19.2l’azienda annunciato.

Cos’è IndexNow. IndexNow fornisce ai proprietari di siti web un metodo per informare istantaneamente i motori di ricerca sulle ultime modifiche ai contenuti del loro sito web. IndexNow è un semplice protocollo ping in modo che i motori di ricerca sappiano che un URL e il suo contenuto sono stati aggiunti, aggiornati o eliminati, consentendo ai motori di ricerca di riflettere rapidamente questo cambiamento nei loro risultati di ricerca. IL condivisione condivisa di IndexNow è diventato pienamente operativo nel gennaio 2022.

Integrazioni. Perché Microsoft ha creato il suo proprio plugin per WordPress siti per utilizzare IndexNow, Yoast ha deciso di integrarlo nel suo plug-in premium. Perché Yoast l’ha aggiunto adesso? “L’ultima modifica al protocollo è il secondo sviluppo significativo che ci ha fatto cambiare idea su IndexNow. Il team di IndexNow ha cambiato l’endpoint dell’API dal ping di ogni motore di ricerca supportato individualmente a una singola API gestita dal protocollo. Ciò significa che i siti devono eseguire il ping di un solo sito, rendendo il processo molto più efficiente. Tutto ciò rientra nella nostra visione di una soluzione di scansione e indicizzazione sostenibile, quindi ora è il momento di implementare IndexNow con una nuova integrazione in Yoast SEO”, ha spiegato l’azienda.

Cos’è IndexNow. IndexNow fornisce ai proprietari di siti web un metodo per informare istantaneamente i motori di ricerca sulle ultime modifiche ai contenuti del loro sito web. IndexNow è un semplice protocollo ping in modo che i motori di ricerca sappiano che un URL e il suo contenuto sono stati aggiunti, aggiornati o eliminati, consentendo ai motori di ricerca di riflettere rapidamente questo cambiamento nei loro risultati di ricerca.

Supporto Google? No, non ancora. Google l’anno scorso ha detto di sì testare IndexNow ma da allora non ha detto molto su IndexNow. Ci sono state alcune voci secondo cui Google non avrebbe adottato questo protocollo ma, come abbiamo visto nel campo della ricerca, le cose cambiano velocemente e spesso.

Perché ci preoccupiamo. Come abbiamo detto prima, l’indicizzazione istantanea è il sogno di un SEO quando si tratta di fornire ai motori di ricerca i contenuti più aggiornati di un sito. Il protocollo è molto semplice e richiede uno sforzo minimo da parte dello sviluppatore per aggiungerlo al tuo sito, quindi ha senso implementarlo se ti interessa un’indicizzazione rapida.

Ora, se hai WordPress e utilizzi Yoast SEO premium, puoi facilmente attivare IndexNow per il tuo sito.

Una vulnerabilità di gravità critica in un plugin WordPress con più di 90.000 installazioni può consentire agli aggressori di ottenere l’esecuzione di codice in modalità remota per compromettere completamente i siti Web vulnerabili.

Conosciuto come Migrazione di backupil plug-in aiuta gli amministratori ad automatizzare i backup del sito nella memoria locale o in un account Google Drive.

Il bug di sicurezza (tracciato come CVE-2023-6553 e valutato con a Punteggio di gravità 9,8/10) è stato scoperto da un team di cacciatori di insetti noto come Squadra Nexche lo ha segnalato alla società di sicurezza WordPress Wordfence nell’ambito di un programma bug bounty lanciato di recente.

Ha un impatto su tutte le versioni dei plug-in fino a Backup Migration 1.3.6 inclusa e gli autori malintenzionati possono sfruttarlo in attacchi a bassa complessità senza l’interazione dell’utente.

CVE-2023-6553 consente agli aggressori non autenticati di prendere il controllo dei siti Web presi di mira ottenendo l’esecuzione di codice remoto tramite l’iniezione di codice PHP tramite il file /includes/backup-heart.php.

“Ciò è dovuto al fatto che un utente malintenzionato è in grado di controllare i valori passati a un include e successivamente di sfruttarli per ottenere l’esecuzione di codice remoto. Ciò consente agli autori di minacce non autenticati di eseguire facilmente codice sul server,” Wordfence disse di lunedi.

“Inviando una richiesta appositamente predisposta, gli autori delle minacce possono sfruttare questo problema per includere codice PHP arbitrario e dannoso ed eseguire comandi arbitrari sul server sottostante nel contesto di sicurezza dell’istanza WordPress.”

Nel file /includes/backup-heart.php utilizzato dal plugin Backup Migration, viene effettuato un tentativo di incorporare bypasser.php dalla directory BMI_INCLUDES (definita unendo BMI_ROOT_DIR con la stringa include) alla riga 118.

Tuttavia, BMI_ROOT_DIR viene definito tramite l’intestazione HTTP content-dir trovata alla riga 62, rendendo quindi BMI_ROOT_DIR soggetto al controllo dell’utente.

Patch rilasciata in poche ore

Wordfence ha segnalato la grave falla di sicurezza a BackupBliss, il team di sviluppo dietro il plugin Backup Migration, il 6 dicembre, con gli sviluppatori che hanno rilasciato una patch poche ore dopo.

Tuttavia, nonostante il rilascio della versione patchata del plug-in Backup Migration 1.3.8 il giorno del rapporto, quasi 50.000 siti Web WordPress che utilizzano una versione vulnerabile devono ancora essere protetti quasi una settimana dopo, poiché Statistiche di download dell’organizzazione WordPress.org spettacolo.

Si consiglia vivamente agli amministratori di proteggere i propri siti Web da potenziali attacchi CVE-2023-6553, dato che si tratta di una vulnerabilità critica che malintenzionati non autenticati possono sfruttare da remoto.

Anche gli amministratori di WordPress lo sono essere preso di mira da una campagna di phishing che tenta di indurli a installare plugin dannosi utilizzando falsi avvisi di sicurezza di WordPress per una vulnerabilità fittizia tracciata come CVE-2023-45124 come esca.

La scorsa settimana, WordPress ha anche corretto un problema di programmazione orientata alle proprietà (POP) vulnerabilità della catena che potrebbe consentire agli aggressori di ottenere l’esecuzione arbitraria di codice PHP in determinate condizioni (se combinato con alcuni plugin in installazioni multisito).

È stato identificato un nuovo tipo di malware che agisce come una sofisticata backdoor in grado di eseguire diverse operazioni spacciandosi per un plugin legittimo.

Il malware ha diverse funzionalità, tra cui la possibilità di modificare file, creare un account amministratore, attivare e disattivare plug-in da remoto, aggiungere filtri per evitare di essere elencato tra i plug-in attivati ​​e funzionalità di ping per verificare se lo script è ancora attivo.

Malware WordPress come plugin di cache

Il file dannoso ha accesso alle funzionalità standard di WordPress proprio come gli altri plugin poiché funziona come plugin all’interno dell’ambiente WordPress, riferisce Defiant, la società dietro il plugin di sicurezza WordPress Wordfence.

Il codice sopra mostra la creazione di un nuovo account utente con il nome utente “superadmin” e una password codificata con privilegi a livello di amministratore. Quando non è più necessario, la funzione successiva è progettata per eliminare l’account superadmin.

Il codice di rilevamento dei bot è spesso presente nel malware che presenta contenuti medi a utenti specifici deviandoli verso siti Web dannosi o presentando contenuti dannosi ad altri tipi di utenti.

Questo hook viene spesso utilizzato per inserire altri elementi desiderabili in post o pagine, modificare la lunghezza degli estratti o aggiungere dichiarazioni di non responsabilità a post o pagine.

Il malware viene utilizzato per attivare e disattivare plug-in arbitrari da remoto. Inoltre, contiene altre funzioni di pulizia per rimuovere contenuti dannosi dal database.

Invocazione remota

Cerca una determinata stringa dell’agente utente necessaria per gestire le funzionalità di questa backdoor.

“Nel loro insieme, queste funzionalità forniscono agli aggressori tutto ciò di cui hanno bisogno per controllare e monetizzare da remoto il sito vittima, a scapito del posizionamento SEO del sito stesso e della privacy degli utenti”, hanno affermato i ricercatori.

Lo scanner malware di Defiant protegge gli utenti Premium, Care e Response durante il caricamento dei file rispetto al caricamento di questo campione e di molte delle sue varianti.

Proteggiti dalle vulnerabilità utilizzando Patch Manager Plus per applicare rapidamente patch a oltre 850 applicazioni di terze parti. Approfitta del prova gratuita per garantire la sicurezza al 100%.

Una vulnerabilità zero-day rilevata in un plugin premium di WordPress viene attivamente sfruttata in libertà, dicono i ricercatori, invitando gli utenti a rimuoverla dai loro siti web fino al rilascio di una patch.

Plug-in di sicurezza WordPress i creatori di WordFence hanno scoperto un difetto in WPGateway, un plugin premium che aiuta gli amministratori a gestire altri plugin e temi WordPress da un’unica dashboard.

18 luglio 2023Sala stampaSicurezza/vulnerabilità del server

Gli autori delle minacce stanno sfruttando attivamente una falla di sicurezza critica recentemente rivelata nel plugin WordPress di WooCommerce Payments come parte di una massiccia campagna mirata.

Il difetto, tracciato come CVE-2023-28121 (Punteggio CVSS: 9,8), è un caso di bypass dell’autenticazione che consente agli aggressori non autenticati di impersonare utenti arbitrari ed eseguire alcune azioni come utente impersonato, incluso un amministratore, portando potenzialmente all’acquisizione del sito.

“Gli attacchi su larga scala contro la vulnerabilità, assegnata CVE-2023-28121, sono iniziati giovedì 14 luglio 2023 e sono continuati durante il fine settimana, raggiungendo un picco di 1,3 milioni di attacchi contro 157.000 siti sabato 16 luglio 2023,” ricercatore di sicurezza di Wordfence Ram Gallo disse in un post di lunedì.

Le versioni dalla 4.8.0 alla 5.6.1 di WooCommerce Payments sono vulnerabili. Il plugin è installato su oltre 600.000 siti. Le patch per il bug sono state rilasciate da WooCommerce nel marzo 2023, con WordPress che rilasciava aggiornamenti automatici ai siti che utilizzavano le versioni interessate del software.

Un denominatore comune osservato negli attacchi comporta l’uso del file Intestazione della richiesta HTTP “X-Wcpay-Platform-Checkout-User: 1” che fa sì che i siti sensibili considerino eventuali payload aggiuntivi come provenienti da un utente amministrativo.

Wordfence ha affermato che la suddetta scappatoia viene utilizzata come arma per distribuire il plug-in WP Console, che può essere utilizzato da un amministratore per eseguire codice dannoso e installare un uploader di file per impostare la persistenza e il backdoor del sito compromesso.

Difetti di Adobe ColdFusion sfruttati allo stato brado

La divulgazione arriva dopo che Rapid7 ha riferito di aver osservato lo sfruttamento attivo delle falle di Adobe ColdFusion in diversi ambienti dei clienti a partire dal 13 luglio 2023, per distribuire web shell su endpoint infetti.

“Sembra che gli autori delle minacce stiano sfruttando CVE-2023-29298 insieme a una vulnerabilità secondaria”, ha affermato Caitlin Condon, ricercatrice di sicurezza di Rapid7. disse. Il difetto aggiuntivo sembra essere CVE-2023-38203 (punteggio CVSS: 9,8), un difetto di deserializzazione che è stato risolto in un aggiornamento fuori banda rilasciato il 14 luglio.

CVE-2023-29298 (Punteggio CVSS: 7,5) preoccupazioni una vulnerabilità di bypass del controllo degli accessi impattante ColdFusion 2023, ColdFusion 2021 Update 6 e versioni precedenti e ColdFusion 2018 Update 16 e versioni precedenti.

“La vulnerabilità consente a un utente malintenzionato di accedere agli endpoint di amministrazione inserendo un carattere barra aggiuntivo inaspettato nell’URL richiesto”, ha rivelato Rapid7 la scorsa settimana.

Rapid7, tuttavia, ha avvertito che la correzione per CVE-2023-29298 è incompleta e che potrebbe essere banalmente modificata per aggirare le patch rilasciate da Adobe.

Si consiglia agli utenti di aggiornare alla versione più recente di Adobe ColdFusion per proteggersi da potenziali minacce, poiché le correzioni implementate per risolvere CVE-2023-38203 interrompono la catena di exploit.

I ricercatori di sicurezza informatica di Wordfence avvertono WordPress agli utenti che un plugin popolare presenta una falla di sicurezza di cui si abusa in modo diffuso nelle campagne in corso.

Gli autori delle minacce possono utilizzare la falla, tracciata come CVE-2023-28121 e con un punteggio di gravità di 9,8, per una serie di cose, inclusa l’acquisizione completa del sito Web.

Il plugin premium di WordPress WPGateway ha segnalato un difetto zero-day che viene sfruttato attivamente in natura. Denominato CVE-2022-3180 (punteggio CVSS: 9,8), consente ad attori malintenzionati di assumere completamente il controllo dei siti delle vittime. Il bug viene utilizzato per aggiungere un utente amministratore dannoso ai siti che eseguono il plug-in WPGateway, ha affermato Wordfence. “Parte della funzionalità del plugin espone una vulnerabilità che consente agli aggressori non autenticati di inserire un amministratore malintenzionato”, ha osservato Ram Gall, ricercatore di Wordfence. Incredibilmente, sono stati attaccati ben 280.000 siti di questo tipo.

Accesso WPGateway compromesso? Ecco come scoprirlo

WPGateway viene utilizzato per installare, eseguire il backup e clonare plugin e temi WordPress da una dashboard unificata. L’amministratore che esegue il plug-in compromesso viene fornito con il nome utente “rangex”. Inoltre, la comparsa di richieste a “//wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1” è anche un segno che il sito WordPress è stato compromesso utilizzando la falla.

Secondo Wordfenceil bug è stato utilizzato per condurre oltre 4,6 milioni di attacchi tentando di sfruttare la vulnerabilità contro più di 280000 siti negli ultimi 30 giorni. operatori Di WPGateway sono venuto a conoscenza della vulnerabilità l’8 settembre, ma è ancora una minaccia attiva in natura.

Si consiglia agli amministratori dei siti Web WordPress che utilizzano WPGateway di cercare l’aggiunta di un amministratore denominato “rangex”. Poiché la vulnerabilità deve ancora essere risolta, si consiglia agli utenti di rimuovere il plug-in dalle proprie installazioni WordPress fino a quando non verrà implementata una correzione. “Se hai installato il plugin WPGateway, ti invitiamo a rimuoverlo immediatamente fino a quando non sarà resa disponibile una patch e a verificare la presenza di utenti amministratori malintenzionati nel tuo WordPress dashboard”, ha condiviso Wordfence in a post sul blog.

Questa non è la prima volta che i siti WordPress sono esposti a vulnerabilità. L’anno scorso, è stato segnalato che oltre 90.000 siti Web sono stati rilevati a causa di un difetto in Brizy Page Builder che fornisce agli utenti un’esperienza di creazione di siti Web “senza codice”.

31 luglio 2023Sala stampaSicurezza del sito web/WordPress

Sono state rivelate numerose vulnerabilità di sicurezza nel plug-in Ninja Forms per WordPress che potrebbero essere sfruttate dagli autori delle minacce per aumentare i privilegi e rubare dati sensibili.

I difetti, tracciati come CVE-2023-37979, CVE-2023-38386 e CVE-2023-38393, incidono sulle versioni 3.6.25 e precedenti, Patchstack disse in un rapporto della settimana scorsa. Ninja Forms è installato su oltre 800.000 siti.

Di seguito è riportata una breve descrizione di ciascuna vulnerabilità:

• CVE-2023-37979 (Punteggio CVSS: 7,1) – Un difetto di cross-site scripting (XSS) basato su POST che potrebbe consentire a qualsiasi utente non autenticato di ottenere un’escalation dei privilegi su un sito WordPress di destinazione inducendo gli utenti privilegiati a visitare un sito Web appositamente predisposto.
• CVE-2023-38386 E CVE-2023-38393 – Difetti di controllo degli accessi interrotti nella funzionalità di esportazione degli invii di moduli che potrebbero consentire a un utente malintenzionato con ruoli di abbonato e collaboratore di esportare tutti gli invii di Ninja Forms su un sito WordPress.

Si consiglia agli utenti del plug-in di aggiornare alla versione 3.6.26 per mitigare potenziali minacce.

La divulgazione arriva come Patchstack rivelato un altro rifletteva un difetto di vulnerabilità XSS nel kit di sviluppo software (SDK) di Freemius WordPress che interessava le versioni precedenti alla 2.5.10 (CVE-2023-33999) che potrebbero essere sfruttati per ottenere privilegi elevati.

La società di sicurezza WordPress ha scoperto anche un file bug critico nel plugin HT Mega (CVE-2023-37999) presente nelle versioni 2.2.0 e precedenti che consente a qualsiasi utente non autenticato di aumentare i propri privilegi a quelli di qualsiasi ruolo sul sito WordPress.