I ricercatori di JetPack avvertono della violazione di plugin e temi in WordPress. Si tratta di tutti gli “accessori” di AccessPress Themes che gestiscono visualizzazione e layout dei blog, oltre ad aggiungere eventuali funzionalità ai siti web.
“Impossibile sottovalutare il rischio derivante da terze parti”, commenta Pierguido Iezzi, esperto di cyber security e CEO di Swascan: “casi come quello di AccessPress ci ricordano bene quanto ogni singolo tassello di un’organizzazione potrebbe essere un punto debole. Ma, al contempo, sono la testimonianza di come non sia un caso che sempre più criminal hacker siano in cerca di vulnerabilità trasversali in grado di interessare un numero più vasto possibile di device”.
Indice degli argomenti
WordPress a rischio backdoor
La violazione risale allo scorso settembre. Sarebbero oltre 360 mila i siti Web a rischio backdoor, mentre i temi e i plug-in coinvolti superano quota novanta. Infatti la backdoor ha fornito agli attaccanti il pieno controllo amministrativo su siti web che usano 40 temi e 53 plugin appartenenti ad AccessPress Themes, l’azienda con base in Nepal che conta centinaia di migliaia di installazioni.
Si tratta di un altro caso di software supply chain attack, in cui gli attacchi alla “catena di distribuzione” usano il fornitore come anello del perimetro difensivo.
“Le estensioni infette contenevano un un dropper per una web shell che offre agli attaccanti accesso pieno ai siti infetti,” hanno spiegato i ricercatori di JetPack, sviluppatori di una suite di WordPress plugin. I cyber criminali, poi, sfruttavano redirect su siti pianificati ad hoc per condurre truffe o altre attività malevole, al fine di monetizzare l’attacco.
La ricerca di vulnerabilità zero-day
“I casi eclatanti sono stati Solar Winds, NSO, Log4j eccetera”, continua Iezzi, “ma sempre di più il focus sta diventando quello della ricerca ossessiva da parte degli aggressori di zero-day”.
“Lo scorso anno ne abbiamo osservato una crescita del 100%, trend proprio degli zero-day, tendenza che continuerà con altissima probabilità anche nel 2022”.
I consigli per proteggersi
Innanzitutto, per sapere se il proprio blog o sito è compromesso, è necessario analizzare il file wp-includes/vars.php. Nel caso in cui “wp_is_mobile_fix” presentasse codici offuscati, vorrebbe dire che i criminal hacker sono riusciti ad inoculare il codice malware per aprire la backdoor. In questo caso bisogna subito eliminarla.
Ma non basta, è necessario anche adottare un nuovo approccio alla cyber security.
“Ecco che, ancora una volta, la cyber security deve adattare il suo approccio“, conclude Iezzi: “Di fronte a queste nuove minacce e rischi l’approccio al “patching tradizionale” non è più efficace in termini di tempistiche. In uno scenario dove il fattore tempo è cruciale, i sistemi di threat intelligence, soluzioni di virtual patching flessibili e la capacità di event correlation degli analisti del SoC diventano essenziali. Insomma, ancora una volta i criminal hacker stanno variando approccio, la partita si sta giocando sempre di più sulla proattività. Come sempre non possiamo abbassare la guardia”.