Il team di Wordfence Threat Intelligence ha rilevato che diversi plugin per WordPress sono stati compromessi da attaccanti per iniettare codice malevolo ed esfiltrare informazioni sensibili. La scoperta è stata fatta dopo che, il 22 giugno 2024, è stato segnalato un post sul forum del team di revisione dei plugin di WordPress.org riguardante il plugin Social Warfare, infettato da codice dannoso. Analizzando il file compromesso, gli esperti hanno identificato ulteriori quattro plugin infettati da codice PHP malevolo.

Il malware iniettato tenta di creare un nuovo account amministrativo e invia i dettagli al server controllato dall’aggressore. Inoltre, è stato rilevato JavaScript dannoso iniettato nel piè di pagina dei siti web che sembra causare SEO spam su tutto il sito web. Il codice dannoso non è molto sofisticato né fortemente offuscato e contiene commenti che ne facilitano l’esecuzione. La prima iniezione risale al 21 giugno 2024 e l’attaccante ha continuato ad aggiornare i plugin fino a 5 ore fa.

La stima d’impatto della vulnerabilità sulla comunità di riferimento è ALTO/ARANCIONE (73,07/100).

Tipologia della vulnerabilità

  • Remote Code Execution
  • Information Leakage
  • Privilege Escalation

Nel dettaglio, tale codice risulterebbe in grado di eseguire le seguenti attività sulle istanze impattate:

  • esfiltrare il database delle credenziali utente;
  • creare utenze di tipo amministrativo;
  • comunicare con il server di C2 sotto il controllo degli attaccanti;
  • inserire nel footer delle pagine web delle piattaforme interessate del codice JavaScript, al fine di acquisire visibilità nei motori di ricerca tramite la tecnica “”SEO spam” (spamdexing).

Prodotti e versioni interessate

I plugin infetti rilevati dai ricercatori di sicurezza sono:

  • Social Warfare, dalla versione 4.4.6.4 alla 4.4.7.1
  • Blaze Widget, dalla versione 2.2.5 alla 2.5.2
  • Wrapper Link Element, versioni 1.0.2 e 1.0.3
  • Contact Form 7 Multi-Step Addon, versioni 1.0.4 e 1.0.5
  • Simply Show Hooks, versione 1.2.1

 Attualmente non è chiaro come l’attaccante sia riuscito a infettare questi plugin. In linea con le dichiarazioni dei ricercatori di sicurezza e in attesa del rilascio delle nuove versioni dei plugin, il CSIRT Italia consiglia la tempestiva rimozione delle versioni malevole e il monitoraggio dei repository degli sviluppatori dei suddetti plugin. Inoltre, raccomanda di valutare la verifica e l’implementazione sui propri apparati di sicurezza degli Indicatori di Compromissione (IoC) presenti nel bollettino di sicurezza Wordfence.

https://www.wordfence.com/blog/2024/06/supply-chain-attack-on-wordpress-org-plugins-leads-to-5-maliciously-compromised-wordpress-plugins/

https://www.csirt.gov.it/contenuti/rilevata-compromissione-di-plugin-per-wordpress-al02-240625-csirt-ita

Twitter
Visit Us
LinkedIn
Share
YOUTUBE