Una vulnerabilità zero-day nell’ultima versione di un plug-in premium di WordPress WPGateway viene attivamente sfruttata in natura, consentendo ad attori malintenzionati di aggiungere un utente amministratore dannoso ai siti che eseguono il plug-in.
Il plug-in WPGateway è un plug-in premium legato al servizio cloud WPGateway, che permette ai suoi utenti la possibilità di configurare e gestire i siti WordPress da un’unica dashboard.
Secondo i team di Wordfence Threat Intelligence una parte della funzionalità del plug-in espone la vulnerabilità consente agli aggressori non autenticati di inserire un amministratore dannoso.
Come riferisce Ram Gall, analista senior delle minacce di Wordfence, “Il firewall di Wordfence ha bloccato con successo oltre 4,6 milioni di attacchi mirati a questa vulnerabilità contro più di 280.000 siti negli ultimi 30 giorni.”
Wordfence ha fornito indicazioni per capire se un sito è stato violato:
“Se stai cercando di determinare se un sito è stato compromesso a causa di questa vulnerabilità, l’indicatore più comune di compromissione è un amministratore malintenzionato con il nome utente di rangex.
Se vedi questo utente aggiunto alla tua dashboard, significa che il tuo sito è stato compromesso.
Inoltre, puoi controllare i registri di accesso del tuo sito per le richieste//wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=
Se queste richieste sono presenti nei tuoi log, indicano che il tuo sito è stato attaccato utilizzando un exploit mirato a questa vulnerabilità, ma non indicano necessariamente che è stato compromesso con successo.”
I team di Wordfence hanno deciso di non divulgare tutti i dettagli relativi a questa vulnerabilità per prevenire un ulteriore sfruttamento. Infatti, ricordano che utente malintenzionato con privilegi di amministratore ha effettivamente ottenuto un’acquisizione completa di un sito.
https://thehackernews.com/2022/09/over-280000-wordpress-sites-attacked.html