Allarme WordPress: attacco supply chain buca 1 milione di siti (e PAN-OS/AWS sono sotto tiro)

La metà di giugno 2026 è stata segnata da una serie di incidenti che evidenziano l’evoluzione delle minacce contro le infrastrutture digitali moderne. Nel giro di pochi giorni sono emersi un grave attacco supply chain contro alcuni dei plugin WordPress più diffusi al mondo, lo sfruttamento attivo di una vulnerabilità critica in PAN-OS GlobalProtect e la divulgazione di una falla potenzialmente sfruttabile nella libreria aws-c-http utilizzata dagli SDK cloud di AWS. Sebbene i tre episodi coinvolgano tecnologie differenti, condividono un elemento comune: l’attacco alla fiducia che organizzazioni e utenti ripongono nelle proprie dipendenze software. Dalle reti CDN ai gateway VPN fino alle librerie utilizzate dai servizi cloud, gli aggressori stanno dimostrando una crescente capacità di individuare punti di accesso indiretti capaci di generare impatti su larga scala.

Un attacco supply chain colpisce oltre un milione di siti WordPress

L’incidente più esteso ha coinvolto tre plugin sviluppati da Awesome Motive: OptinMonster, PushEngage e TrustPulse, utilizzati complessivamente da oltre 1,2 milioni di siti WordPress. La scoperta è stata effettuata dai ricercatori di Sansec, che hanno identificato la compromissione di alcuni file JavaScript distribuiti tramite CDN. Gli aggressori non hanno modificato direttamente i plugin installati sui siti, ma hanno alterato gli script serviti attraverso l’infrastruttura di distribuzione. Questa tecnica ha consentito di colpire simultaneamente migliaia di installazioni senza dover compromettere singolarmente ciascun sito. Tra i file interessati figuravano pushengage-web-sdk.js, pushengage-subscription.js e le versioni api.min.js utilizzate da OptinMonster e TrustPulse. L’attacco è rimasto attivo per finestre temporali relativamente brevi ma sufficienti a esporre un numero significativo di amministratori WordPress.

Il malware prendeva di mira esclusivamente gli amministratori

Uno degli aspetti più sofisticati dell’operazione riguarda il comportamento selettivo del payload. Gli script malevoli non si attivavano durante la normale navigazione degli utenti ma controllavano specificamente la presenza di una sessione amministrativa WordPress attiva. Quando un amministratore autenticato visitava il sito durante il periodo di compromissione, il codice verificava cookie e percorsi specifici dell’area di amministrazione prima di eseguire la fase successiva dell’attacco. Questo approccio consentiva agli aggressori di ridurre notevolmente la probabilità di rilevamento, evitando comportamenti anomali visibili ai visitatori comuni. Una volta identificata una sessione privilegiata, il malware raccoglieva i nonce di sicurezza necessari per effettuare operazioni amministrative e iniziava una procedura automatizzata di compromissione dell’installazione WordPress.

Account amministratore nascosti e backdoor persistenti

Dopo aver ottenuto le informazioni necessarie, il codice creava nuovi account amministratore utilizzando sia credenziali predefinite sia nomi generati casualmente. Tra gli account osservati figuravano utenti come developer_api1 associati a indirizzi email controllati dagli attaccanti. Successivamente venivano installati plugin malevoli progettati per non comparire all’interno della dashboard amministrativa. Le backdoor assumevano nomi apparentemente innocui come content-delivery-helper o database-optimizer, nascondendosi tra i componenti legittimi del sito. Una volta installate, offrivano agli aggressori una vera e propria web shell accessibile senza autenticazione, capace di eseguire comandi arbitrari, caricare file e mantenere il controllo persistente dell’infrastruttura. Le informazioni raccolte, comprese le credenziali degli account creati, venivano inviate verso il dominio tidio.cc, registrato poche settimane prima dell’attacco e progettato per imitare il servizio legittimo tidio.com.

La compromissione sarebbe partita da una vulnerabilità in UpdraftPlus

Secondo le informazioni condivise da PushEngage, l’accesso iniziale sarebbe stato ottenuto sfruttando la vulnerabilità CVE-2026-10795 nel plugin UpdraftPlus, presente sul server utilizzato per il sito marketing dell’azienda. Gli aggressori avrebbero recuperato una chiave API associata al CDN e utilizzato tale accesso per modificare i file JavaScript distribuiti agli utenti. I ricercatori di Sansec non hanno confermato in modo definitivo questa ricostruzione ma ritengono plausibile un compromesso dei sistemi interni o delle credenziali associate all’infrastruttura CDN. In risposta all’incidente, le aziende coinvolte hanno sostituito i file compromessi, invalidato le credenziali interessate, svuotato le cache CDN e avviato procedure di rotazione delle chiavi di accesso. Tuttavia, tutti i siti che hanno caricato gli script durante le finestre di esposizione con amministratori autenticati devono essere considerati potenzialmente compromessi e sottoposti a verifiche approfondite.

PAN-OS sotto attacco per la vulnerabilità CVE-2026-0257

Parallelamente all’incidente WordPress, Palo Alto Networks ha confermato lo sfruttamento attivo della vulnerabilità CVE-2026-0257, una falla di authentication bypass che interessa i componenti GlobalProtect Portal e GlobalProtect Gateway di PAN-OS. La vulnerabilità, classificata con punteggio CVSS 7.8, consente a un attaccante remoto non autenticato di stabilire connessioni VPN senza possedere credenziali valide. Secondo l’azienda, le attività di sfruttamento sono state osservate già a partire dal 17 maggio 2026, mentre la vulnerabilità è stata successivamente inserita nel catalogo Known Exploited Vulnerabilities (KEV). Sebbene non siano stati rilevati movimenti laterali significativi o attività post-compromissione particolarmente avanzate, la possibilità di ottenere accesso VPN senza autenticazione rappresenta un rischio estremamente elevato per organizzazioni che utilizzano GlobalProtect come meccanismo principale di accesso remoto.

Palo Alto Networks invita a patch immediate

La risposta di Palo Alto Networks è stata particolarmente netta. L’azienda raccomanda l’applicazione immediata delle patch disponibili oppure l’implementazione delle mitigazioni indicate nel bollettino ufficiale. Gli indicatori di compromissione pubblicati comprendono indirizzi IP specifici e parametri utilizzati nei proof-of-concept osservati durante le attività di exploit. Le organizzazioni sono invitate a monitorare attentamente i log di GlobalProtect alla ricerca di connessioni sospette e tentativi di autenticazione anomali. L’inclusione della vulnerabilità nel catalogo KEV indica inoltre che l’exploit è considerato sufficientemente affidabile da essere già utilizzato in scenari reali, aumentando la priorità delle attività di remediation.

AWS corregge una vulnerabilità critica nella libreria aws-c-http

Anche Amazon Web Services ha pubblicato un importante bollettino di sicurezza relativo alla vulnerabilità CVE-2026-12043, identificata nella libreria aws-c-http. Il problema consiste in una vulnerabilità di tipo heap double-free che può provocare corruzione della memoria durante la gestione di specifici aggiornamenti della tabella dinamica HPACK utilizzata dal protocollo HTTP/2. La libreria interessata è ampiamente utilizzata dagli SDK ufficiali AWS per gestire le comunicazioni verso i servizi cloud. Un server remoto controllato da un attaccante può inviare sequenze appositamente costruite di frame HTTP/2 e causare comportamenti imprevedibili sul client vulnerabile. In particolari condizioni, la vulnerabilità potrebbe teoricamente evolvere fino all’esecuzione di codice arbitrario.

Gli SDK AWS coinvolti e le mitigazioni disponibili

La vulnerabilità interessa le versioni della libreria aws-c-http comprese tra la 0.4.22 e la 0.10.15, con impatti che si estendono a specifiche versioni di aws-sdk-cpp e aws-sdk-java-v2. AWS ha rilasciato la correzione nella versione 0.11.0 della libreria e invita gli sviluppatori ad aggiornare immediatamente tutte le implementazioni interessate. Come misura temporanea è possibile forzare l’utilizzo di connessioni HTTP/1.1 laddove supportato dall’applicazione. Particolare attenzione deve essere riservata alle organizzazioni che utilizzano fork personalizzati degli SDK o librerie derivate, poiché potrebbero non ricevere automaticamente le correzioni ufficiali distribuite da AWS.

Le supply chain software diventano il bersaglio principale

Gli incidenti osservati nel mese di giugno mostrano una tendenza ormai consolidata nel panorama della sicurezza informatica. Gli aggressori puntano sempre più spesso alle supply chain software, sfruttando componenti condivisi, infrastrutture di distribuzione e dipendenze utilizzate da migliaia di organizzazioni contemporaneamente. Nel caso dei plugin WordPress, la compromissione di pochi file JavaScript distribuiti da CDN ha permesso di colpire oltre un milione di siti senza dover attaccare direttamente le singole installazioni. Nel caso di PAN-OS, una singola vulnerabilità di autenticazione ha consentito di aggirare le difese di accesso remoto utilizzate da numerose aziende. La falla individuata in aws-c-http dimostra invece quanto anche una libreria apparentemente secondaria possa rappresentare un vettore di rischio per ecosistemi cloud estremamente diffusi.

La velocità di risposta diventa decisiva

La combinazione di attacchi supply chain, vulnerabilità attivamente sfruttate e problemi di sicurezza nelle dipendenze cloud evidenzia la necessità di strategie di difesa sempre più rapide e proattive. Le organizzazioni che utilizzano OptinMonster, PushEngage o TrustPulse devono verificare immediatamente la presenza di account amministrativi sospetti e plugin nascosti. Gli utenti PAN-OS devono applicare con urgenza gli aggiornamenti per CVE-2026-0257, mentre gli sviluppatori che utilizzano gli SDK AWS interessati devono aggiornare le librerie vulnerabili. In un panorama dove gli aggressori sfruttano qualsiasi anello debole della catena software, la capacità di individuare rapidamente compromissioni e applicare correzioni tempestive rappresenta ormai uno dei fattori più importanti per limitare l’impatto degli incidenti di sicurezza.