Se stai cercando l'istanza Mastodon di inSicurezzaDigitale puoi cliccare questa barra (mastodon.insicurezzadigitale.com)

ZeroDay su plugin WordPress con +500mila installazioni

In una campagna rilevata di recente, un gruppo di hacker ha reimpostato le password di amministratore sui siti WordPress sfruttando una vulnerabilità zero-day critica in Easy WP SMTP, un plug-in con oltre 500.000 installazioni attive. Il difetto è stato corretto questo lunedì.

Questo strumento consente agli amministratori del sito Web di modificare le impostazioni SMTP per le e-mail in uscita dalle piattaforme dei propri utenti.

Secondo il rapporto, la versione 1.4.2 e precedenti del plugin contengono una funzione per creare log di debug delle email inviate dal sito web dell’utente. Poiché la cartella del plugin non contiene alcun file index.html, i server hanno l’elenco di directory abilitato; a loro volta, gli hacker potrebbero trovare facilmente questi record.

I criminali informatici che sono riusciti a sfruttare questa falla in siti vulnerabili hanno implementato attacchi automatici per identificare gli account amministratore e forzare la reimpostazione della password. Tutto ciò che gli aggressori devono fare è accedere al registro di debug dopo aver reimpostato la password, prendere il collegamento di ripristino e assumere il controllo del sito Web di destinazione.

Gli sviluppatori hanno risolto questo difetto spostando semplicemente il log di debug del plug-in nella cartella dei log di WordPress per garantirne la protezione. Questa è la seconda volta che una vulnerabilità zero-day viene rilevata in questo plugin; nel marzo 2019, un gruppo di ricercatori ha scoperto che hacker non identificati stavano sfruttando un difetto in Easy WP SMTP per abilitare la registrazione degli utenti e creare account amministratore come backdoor.

Fortunatamente, non sono tutte brutte notizie. A differenza del panorama del 2019, l’attuale versione del CMS presenta una funzione di aggiornamento automatico incorporata per temi e componenti aggiuntivi. Aggiunta nell’agosto 2020, con il rilascio di WordPress 5.5, se abilitata, questa funzione consentirà ai plugin di funzionare sempre nell’ultima versione disponibile senza doverli aggiornare manualmente.