Un nuovo malware Linux, finora sconosciuto, sta attaccando 30 vulnerabilità in moltiplici plugin e temi WordPress, per iniettare JavaScript malevoli.
“La compromissione di siti basati sul popolare CMS WordPress”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “è un’attività comune in un’ampia gamma di attività illegali online, dal phishing alla distribuzione di malware“. Ecco come proteggersi.
Indice degli argomenti
WordPress nel mirino di un malware Linux
Il nuovo malware Linux è stato scoperto dai ricercatori di Doctor Web e tracciato come Linux.BackDoor.WordPressExploit.1. Esso compromette siti WordPress attraverso l’exploit di 30 vulnerabilità contenute in plugin e temi non aggiornati:
- WP Live Chat Support Plugin
- WordPress – Yuzo Related Posts
- Yellow Pencil Visual Theme Customizer Plugin
- Easysmtp
- WP GDPR Compliance Plugin
- Newspaper Theme on WordPress Access Control (vulnerability CVE-2016-10972)
- Thim Core
- Google Code Inserter
- Total Donations Plugin
- Post Custom Templates Lite
- WP Quick Booking Manager
- Faceboor Live Chat by Zotabox
- Blog Designer WordPress Plugin
- WordPress Ultimate FAQ (vulnerabilities CVE-2019-17232 and CVE-2019-17233)
- WP-Matomo Integration (WP-Piwik)
- WordPress ND Shortcodes For Visual Composer
- WP Live Chat
- Coming Soon Page e Maintenance Mode
- Hybrid
“Nella campagna descritta da Dr. Web”, continua Paganini, “gli attori malevoli hanno preso di mira siti web WordPress che utilizzano plugin e temi non aggiornati e affetti da vulnerabilità note per le quali è semplice reperire un exploit nell’underground criminale”.
Secondo il report del vendor russo di antivirus, il malware prende di mira sistemi Linux sia a 32-bit che a 64-bit, regalando all’attaccante la capacità di comandi da remoto.
Schema di attacco
Se il sito ha una versione di plugin e temi non aggiornata e vulnerabile, il malware in automatico prende JavaScript malevoli dai suoi server command and control (C2) e inietta lo script nel sito.
Il trojan è in grado di hackerare siti WordPress sfruttando un insieme di hardcoded exploit che sono lanciati in successione, fino a trovare quello che funziona. Le pagine infette agiscono da redirector verso una location dell’attaccante, cosicché lo schema funziona meglio sui siti abbandonati.
“Una volta compromesso il sito WordPress”, mette in guardia Paganini, “gli attaccanti iniettano degli script Javascript in alcune pagine che fan sì che quando un visitatore clicca su qualunque parte della pagina sia rediretto verso un sito sotto il loro controllo ed utilizzabile per diversi schemi di attacco (distribuzione malware, phishing, e re-direzione traffico)”.
Le redirection possono servire, infatti, proprio in ambito phishing, distribuzione di malware e campagne malvertising per aiutare ad evadere rilevamento e blocco. Gli operatori dell’auto-injector potrebbero vendere i loro servizi ad altri cyber criminali.
Come proteggersi
Occorre che gli amministratori di siti WordPress aggiornino i CMS con l’ultima versione disponibile di temi e plugin che girano sui siti, sostituendo quelli non più supportati dagli sviluppatori con le alternative aggiornate.
“Per prevenire queste campagne malevole, è fondamentale che gli amministratori dei siti WordPress mantengano aggiornati tutti i componenti del CMS in uso”, conclude Paganini.
Infine è necessario usare password forti ed attivare meccanismi di autenticazione a due fattori, per assicurare la protezione contro attacchi a forza bruta.
