Il plugin Hunk Companion, utilizzato per migliorare le funzionalità di temi WordPress sviluppati da ThemeHunk, è al centro di una grave vulnerabilità. La falla, classificata come CVE-2024-11972, permette l’installazione arbitraria di plugin vulnerabili tramite richieste POST non autenticate, mettendo a rischio oltre 10.000 siti WordPress.
L’origine della minaccia Hunk Companion
La vulnerabilità, scoperta dal ricercatore Daniel Rodriguez di WPScan, consente agli hacker di installare plugin con note vulnerabilità direttamente dal repository di WordPress.org. Questi plugin, spesso obsoleti, sono sfruttati per eseguire codice malevolo o creare account di amministratori backdoor.
Durante un’analisi, WPScan ha rilevato che gli aggressori utilizzavano la vulnerabilità per installare plugin come WP Query Console, aggiornato l’ultima volta oltre 7 anni fa, e sfruttarlo per lanciare attacchi di esecuzione remota di codice (RCE). Attraverso questa tecnica, gli hacker inseriscono dropper PHP nella directory principale del sito, garantendo accesso persistente tramite richieste GET non autenticate.
Azioni correttive e consigli
Hunk Companion ha rilasciato la versione 1.9.0 per affrontare il problema, ma la portata dell’attacco resta significativa: più di 8.000 siti non hanno ancora applicato l’aggiornamento.
Gli utenti sono caldamente invitati a:
- Aggiornare immediatamente alla versione 1.9.0.
- Verificare la presenza di plugin sospetti o obsoleti, rimuovendoli se necessario.
- Monitorare i file del sito per identificare dropper o codice non autorizzato.
Questo caso dimostra quanto sia cruciale mantenere i plugin aggiornati e monitorare costantemente la sicurezza dei siti WordPress. La collaborazione tra sviluppatori e amministratori resta essenziale per mitigare rischi simili.