Una massiccia campagna di malvertising sta sfruttando le vulnerabilità individuate di recente in alcuni plugin WordPress per visualizzare popup e annunci pubblicitari indesiderati, reindirizzare i visitatori dei siti web compromessi verso pagine costruite ad hoc dai criminal hacker e proporre il download di file APK dannosi per dispositivi Android.
A scoprire la nuova attività malevola sono stati gli analisti di Defiant, la software house che ha sviluppato il plugin di sicurezza Wordfence per WordPress.
Dalle indagini effettuate si è scoperto che gli aggressori, sfruttando i bug presenti nei plugin Coming Soon and Maintenance Mode, Yellow Pencil Visual CSS Style Editor e Blog Designer attivi su migliaia di installazioni WordPress, riescono ad iniettare un payload JavaScript nel frontend del sito di una vittima.
Indice degli argomenti
Analisi tecnica del malvertising su WordPress
Il payload contiene uno script malevolo in grado di scaricare codice aggiuntivo da una o più URL di terze parti ed eseguirlo ogniqualvolta un visitatore accede al sito web compromesso.
Ad ogni esecuzione del payload, le vittime verranno automaticamente reindirizzate a un secondo dominio che a sua volta le rimanda ad una terza URL in base al tipo di dispositivo utilizzato dal visitatore. Questo controllo viene effettuato analizzando la stringa User-Agent del browser mediante l’utilizzo di un cookie utilizzato anche per tracciare la navigazione degli ignari visitatori del sito.
La vulnerabilità più sfruttata sembrerebbe essere quella presente nel plugin WordPress Coming Soon Page and Maintenance Mode utilizzata dagli utenti per gestire le pagine di manutenzione dei siti web.
Il plugin, in particolare, ha una vulnerabilità di tipo cross-site scripting (XSS) che consente ad un aggressore non autenticato di iniettare il codice JavaScript o HTML nel frontend del sito.
Anche se è già disponibile una patch, molti siti web che usano la versione 1.7.8 o inferiore del plugin non sono stati ancora aggiornati.
Una vulnerabilità simile è presente anche nel plugin Blog Designer, mentre nel caso del terzo plugin Yellow Pencil Visual CSS Style Editor i criminal hacker stanno sfruttando una vulnerabilità di tipo privilege escalation individuata nel file yellow-pencil.php che consente di acquisirne il pieno controllo.
In particolare, un utente non autenticato potrebbe operare con privilegi di amministratore e cambiare arbitrariamente, ad esempio, le opzioni di funzionamento del plugin.
I consigli per mettere al sicuro il proprio sito Web
I plugin continuano dunque ad essere una vera e propria spina nel fianco di WordPress, esponendo a rischio di attacco informatico potenzialmente tutti i siti che utilizzano questo CMS (Content Management System, in italiano: sistema di gestione dei contenuti).
Secondo un recente rapporto di Imperva, quasi tutte (98%) le vulnerabilità di WordPress sono legate a plugin che estendono le funzionalità e le caratteristiche di un sito web o di un blog.
Al momento, per tutti i plugin affetti da vulnerabilità attivamente sfruttate dai criminal hacker sono state rilasciate patch di aggiornamento oppure gli sviluppatori ne hanno interrotto lo sviluppo impedendone di fatto nuove installazioni.
Il consiglio per i webmaster è dunque quello di procedere il prima possibile all’aggiornamento di tutti i plugin usati sui propri siti web oppure disattivare quelli non più utilizzati.
Lato utente, invece, per evitare di rimanere vittima della campagna di malvertising la prima arma di difesa, soprattutto in ambito aziendale, è la security awareness, cioè la loro sensibilizzazione sull’importanza della sicurezza informatica.
È poi buona norma installare sul computer un buon antimalware da tenere sempre aggiornato, ancora meglio se integra funzionalità di analisi comportamentale e isolamento in sandbox che, pur non garantendo l’immunità, offrono comunque un buon grado di identificazione dei malware noti e meno noti.
Per proteggere una rete locale è invece utile adottare un firewall per il controllo degli accessi.
È poi fondamentale aggiornare costantemente non solo il sistema operativo ma anche il browser e i relativi add-on ed estensioni.
Infine, può tornare utile anche un adblocker come uBlock Origin che permette di avere il controllo sull’esecuzione di banner, script e popup presenti sui siti Web.
