Sommario
Il plugin WP Automatic per WordPress è stato colpito da milioni di attacchi di SQL injection, che hanno permesso agli aggressori di creare account amministrativi e impiantare backdoor per un accesso di lungo termine. Con più di 30,000 installazioni, WP Automatic è uno strumento usato per automatizzare l’importazione e la pubblicazione di contenuti su siti WordPress.
Dettagli dell’attacco
La vulnerabilità sfruttata è stata identificata come CVE-2024-27956 e ha ricevuto un punteggio di gravità di 9.9 su 10. Rivelata da PatchStack il 13 marzo, la falla riguarda una versione obsoleta del plugin (prima della 3.9.2.0) e permette attacchi di SQL injection attraverso il meccanismo di autenticazione utente del plugin. Gli aggressori possono eseguire query SQL articolate per creare account con privilegi amministrativi.
Impatto e rilevanza
WPScan ha osservato più di 5,5 milioni di tentativi di attacco che cercano di sfruttare questa vulnerabilità, con un picco di attacchi registrato il 31 marzo. Una volta ottenuto l’accesso amministrativo, gli attaccanti installano backdoor e offuscano il codice per nascondere la loro presenza e impedire l’accesso ad altri malintenzionati.
Raccomandazioni per la mitigazione
Per prevenire ulteriori compromissioni, è essenziale aggiornare il plugin WP Automatic alla versione 3.92.1 o successiva. Inoltre, WPScan consiglia agli amministratori dei siti di effettuare regolarmente backup del sito per poter ripristinare rapidamente versioni pulite in caso di compromissione.
Indicatori di compromissione
Gli amministratori possono verificare se il loro sito è stato compromesso controllando la presenza di un account amministratore che inizia con “xtw” e file nominati web.php e index.php, che rappresentano le backdoor impiantate nella recente campagna di attacchi.
L’attacco subito dal plugin WP Automatic evidenzia l’importanza di mantenere i software aggiornati e di monitorare regolarmente la sicurezza dei siti web. L’adozione di buone pratiche di sicurezza e la prontezza nell’aggiornare i plugin possono significativamente ridurre il rischio di attacchi simili.
