ZeroDay su plugin WordPress con +500mila installazioni

Posted by

In una campagna rilevata di recente, un gruppo di hacker ha reimpostato le password di amministratore sui siti WordPress sfruttando una vulnerabilità zero-day critica in Easy WP SMTP, un plug-in con oltre 500.000 installazioni attive. Il difetto è stato corretto questo lunedì.

Questo strumento consente agli amministratori del sito Web di modificare le impostazioni SMTP per le e-mail in uscita dalle piattaforme dei propri utenti.

Secondo il rapporto, la versione 1.4.2 e precedenti del plugin contengono una funzione per creare log di debug delle email inviate dal sito web dell’utente. Poiché la cartella del plugin non contiene alcun file index.html, i server hanno l’elenco di directory abilitato; a loro volta, gli hacker potrebbero trovare facilmente questi record.

I criminali informatici che sono riusciti a sfruttare questa falla in siti vulnerabili hanno implementato attacchi automatici per identificare gli account amministratore e forzare la reimpostazione della password. Tutto ciò che gli aggressori devono fare è accedere al registro di debug dopo aver reimpostato la password, prendere il collegamento di ripristino e assumere il controllo del sito Web di destinazione.

Gli sviluppatori hanno risolto questo difetto spostando semplicemente il log di debug del plug-in nella cartella dei log di WordPress per garantirne la protezione. Questa è la seconda volta che una vulnerabilità zero-day viene rilevata in questo plugin; nel marzo 2019, un gruppo di ricercatori ha scoperto che hacker non identificati stavano sfruttando un difetto in Easy WP SMTP per abilitare la registrazione degli utenti e creare account amministratore come backdoor.

Fortunatamente, non sono tutte brutte notizie. A differenza del panorama del 2019, l’attuale versione del CMS presenta una funzione di aggiornamento automatico incorporata per temi e componenti aggiuntivi. Aggiunta nell’agosto 2020, con il rilascio di WordPress 5.5, se abilitata, questa funzione consentirà ai plugin di funzionare sempre nell’ultima versione disponibile senza doverli aggiornare manualmente.

Vuoi commentare? Accendi la discussione