I ricercatori di Worldfence, hanno scoperto un attacco su larga scala contro quasi un milione di singoli siti. Secondo il team, attori malevoli hanno attaccato la celebre piattaforma di blog WordPress, tentando di trovare una falla nel sistema con una tecnica che prevede scansioni di massa alla ricerca di vulnerabilità tipo Cross-Site Scripting (XSS) nei plugin.
Il team di Intelligence ha monitorato un improvviso e massiccio aumento degli attacchi XSS dal 28 aprile 2020, aumentato nei giorni successivi circa 30 volte il volume normale.
L’attività sembra condotta da un unico attore malevolo che opera tentando l’inserimento di codice JavaScript dannoso che reindirizza i visitatori e sfrutta sessioni con privilegi di amministratore per inserire una backdoor nell’intestazione dei temi di WordPress. L’attore, attacca inoltre altre vulnerabilità, principalmente vulnerabilità più vecchie, per modificare la URL della home di un sito con lo stesso dominio utilizzato nel payload XSS per dirottare i visitatori verso siti malevoli.
Dalle analisi effettuate, dal 3 maggio risulta un aumento massiccio solo negli ultimi giorni al punto che sono stati tentati più di 20 milioni di attacchi contro più di mezzo milione di singoli siti. Nel corso dell’ultimo mese in totale, i ricercatori hanno rilevato oltre 24.000 indirizzi IP distinti che inviano richieste corrispondenti a questi attacchi a oltre 900.000 siti.
I tentativi di attacco sono rivolti ai siti WordPress non aggiornati dotati dei seguenti plug-in:
- Easy2Map
- Blog Designer
- WP GDPR Compliance
- Total Donations
- Tema Newspaper
Nonostante il motivo per cui queste vulnerabilità siano state prese di mira non sia immediatamente evidente, si tratta di una campagna su larga scala che potrebbe facilmente ruotare su altri obiettivi.
Tutti gli utenti di Wordfence, compresi i siti che eseguono la versione gratuita di Wordfence e Wordfence Premium, sono protetti da questi attacchi. Tuttavia, i ricercatori raccomandano agli owners dei siti di assicurarsi che tutti i loro plugin siano aggiornati e di disabilitare ed eliminare tutti i plugin che non sono più manutenuti o rimossi dal relativo repository di WordPress.
https://www.wordfence.com/blog/2020/05/nearly-a-million-wp-sites-targeted-in-large-scale-attacks/