Una vulnerabilità di gravità critica che colpisce il plugin Royal Elementor Addons e Templates fino alla versione 1.3.78 è attualmente sfruttata attivamente da due team di sicurezza di WordPress. Poiché l’exploit è stato osservato prima che il fornitore rilasciasse una patch, gli hacker hanno sfruttato la vulnerabilità come zero-day.
Dettagli sulla vulnerabilità
Royal Elementor Addons e Templates, creato da ‘WP Royal’, è un kit per la creazione di siti web che consente di realizzare rapidamente elementi web senza conoscenze di programmazione. Secondo WordPress.org, ha oltre 200.000 installazioni attive. La vulnerabilità che colpisce l’addon è identificata come CVE-2023-5360 (CVSS v3.1: 9.8 “critico”), che permette agli aggressori non autenticati di eseguire caricamenti di file arbitrari sui siti vulnerabili. Nonostante il plugin presenti una validazione dell’estensione per limitare i caricamenti solo a tipi di file specifici e consentiti, gli utenti non autenticati possono manipolare la ‘lista consentita’ per eludere la sanificazione e i controlli. Gli attaccanti possono potenzialmente ottenere l’esecuzione di codice remoto attraverso questa fase di caricamento del file, portando a un compromesso completo del sito web.
Sfruttamento per creare account amministrativi
Due aziende di sicurezza di WordPress, Wordfence e WPScan (Automattic), hanno segnalato che la CVE-2023-5360 è stata attivamente sfruttata dal 30 agosto 2023, con un aumento del volume di attacchi a partire dal 3 ottobre 2023. Wordfence ha bloccato oltre 46.000 attacchi mirati a Royal Elementor nell’ultimo mese, mentre WPScan ha registrato 889 casi in cui gli aggressori hanno rilasciato dieci payload distinti sfruttando la vulnerabilità. La maggior parte dei payload utilizzati in questi attacchi sono script PHP che tentano di creare un utente amministratore di WordPress chiamato ‘wordpress_administrator’ o agiscono come backdoor. WordPress afferma che la maggior parte degli attacchi proviene da soli due indirizzi IP, quindi l’exploit potrebbe essere noto solo a pochi attori minacciosi.
Risposta del fornitore e raccomandazioni
Il fornitore dell’addon è stato contattato con tutti i dettagli il 3 ottobre e ha rilasciato la versione 1.3.79 di Royal Elementor Addons e Templates il 6 ottobre 2023 per correggere la vulnerabilità. Si raccomanda a tutti gli utenti dell’addon di aggiornare a questa versione il prima possibile. È importante notare che l’aggiornamento all’addon alla versione 1.3.79 non rimuoverà automaticamente le infezioni o cancellerà i file dannosi, quindi sarà necessaria una pulizia del sito web in tali casi.