C’è un nuovo campanello d’allarme per milioni di siti Web: i ricercatori di WPScan hanno, infatti, scoperto una vulnerabilità di elevata gravità che coinvolge il plugin LiteSpeed Cache (LS Cache) per WordPress, utilizzato in oltre 5 milioni di siti Web in tutto il mondo e che, lo ricordiamo, aiuta a velocizzare il caricamento delle pagine, a migliorare l’esperienza dei visitatori e a incrementare il posizionamento su Google Search.
Secondo i ricercatori, la vulnerabilità risulta essere attivamente sfruttata dai cyber criminali per generare account amministratore fasulli su siti Web esposti consentendo loro di prenderne il pieno controllo.
La vulnerabilità è stata già affrontata e corretta lo scorso febbraio 2024, per cui è molto importante installare quanto prima la cache se anche sulla nostra piattaforma WordPress è installato il plugin LiteSpeed Cache.
Indice degli argomenti
La vulnerabilità nel plugin LiteSpeed Cache per WordPress
La vulnerabilità, che sta avendo importanti impatti sul plugin LiteSpeed Cache per WordPress, è stata tracciata con il codice CVE-2023-40000 con un punteggio CVSS di 8.3 su 10.
Si tratta, come riportato dai ricercatori di WPScan, di una vulnerabilità di tipo XSS (Cross-Site Scripting) persistente, che consente a un utente non autenticato di elevare i propri privilegi mediante richieste HTTP opportunamente manipolate e di iniettare nei file di WordPress codice malevolo JavaScript ospitato su domini come dns.startservicefounds[.]com e api.startservicefounds[.]com.
In questo modo, gli attaccanti riescono a creare, sui siti Web esposti, utenti amministratori non autorizzati riconoscibili dai nomi wpsupp-user e wp-configuser.
La correzione di questa criticità è stata implementata nella versione 5.7.0.1 del plugin, rilasciata nell’ottobre del 2023, mentre l’ultima versione disponibile, la 6.2.0.1, è stata pubblicata lo scorso 25 aprile 2024.
Nonostante ciò, si stima che il 16,8% (pari a circa 1.835.000) dei siti Web non siano stati aggiornati e operi ancora con versioni del plugin anteriori alla 5.7, rimanendo quindi esposti a potenziali attacchi.
Implicazioni e misure di mitigazione
La creazione di account amministratore da parte di attori malevoli su siti WordPress apre la strada a una serie di conseguenze nefaste, consentendo loro di assumere il pieno controllo del sito e di eseguire azioni arbitrare, quali l’iniezione di malware o l’installazione di altri plugin dannosi. Ma anche modificare i contenuti delle pagine Web, modificare impostazioni critiche di configurazione, reindirizzare il traffico verso siti non sicuri, distribuire phishing o rubare i dati disponibili degli utenti.
Questo scenario evidenzia l’importanza di mantenere aggiornati i plugin installati e di adottare misure proattive per la sicurezza dei siti web.
Per contrastare le minacce potenziali, gli utenti sono incoraggiati ad applicare le ultime patch di sicurezza, a esaminare attentamente tutti i plugin installati ed eliminare eventuali file o cartelle sospetti.
I ricercatori di WPScan suggeriscono, inoltre, di ricercare all’interno del database stringhe sospette, come ‘eval(atob(String.fromCharCode’, in particolare all’interno dell’opzione litespeed.admin_display.messages, per identificare e neutralizzare possibili infezioni.
Conclusioni
Da segnalare anche che la società di sicurezza informatica Sucuri ha portato alla luce un’altra campagna di frode, denominata Mal.Metrica, che sfrutta vulnerabilità recentemente scoperte nei plugin di WordPress per reindirizzare gli utenti verso siti fraudolenti mediante finti prompt di verifica CAPTCHA.
Questa attività sottolinea ulteriormente la necessità per i proprietari di siti web WordPress di abilitare gli aggiornamenti automatici per i file core, i plugin e i temi, e per gli utenti di esercitare cautela nel cliccare su link che appaiono sospetti o fuori contesto.
L’evoluzione del panorama delle minacce informatiche richiede una vigilanza costante e un approccio multilivello alla cyber security, in modo da proteggere efficacemente le risorse digitali dalle sempre più sofisticate tecniche di attacco.
