Nella prima metà di settembre 2021, una dozzina di temi e plug-in WordPress ospitati sul sito Web di uno sviluppatore, sono stati sottoposti a backdoor con codice dannoso al fine di infettare altri siti. La backdoor ha fornito agli aggressori il pieno controllo amministrativo sui siti Web che utilizzavano 40 temi e 53 plug-in appartenenti ad AccessPress Themes, una società con sede in Nepal che vanta non meno di 360.000 installazioni di siti Web attive.
“Le estensioni infette contenevano un dropper per una shell web che offre agli aggressori il pieno accesso ai siti infetti“,
hanno affermato in un rapporto pubblicato questa settimana i ricercatori di sicurezza di JetPack, sviluppatore di plugin per WordPress. “Le stesse estensioni andavano bene se scaricate o installate direttamente dalla directory di WordPress[.]org.” Alla vulnerabilità è stato assegnato l’identificatore CVE-2021-24867. La piattaforma di sicurezza dei siti Web Sucuri, in un’analisi separata, ha affermato che alcuni dei siti Web infetti trovati utilizzando questa backdoor avevano payload di spam risalenti a quasi tre anni fa, il che implica che gli attori dietro l’operazione stavano vendendo l’accesso ai siti agli operatori di altre campagne di spam. All’inizio di questo mese, la società di sicurezza informatica eSentire ha rivelato come i siti Web WordPress compromessi appartenenti ad aziende legittime vengano utilizzati come focolaio per la distribuzione di malware, servendo utenti ignari alla ricerca di accordi postmatrimoniali o di proprietà intellettuale su motori di ricerca come Google con un malware chiamato GootLoader.
E’ stato consigliato, quindi, ai proprietari di siti che hanno installato i plug-in direttamente dal sito Web di AccessPress Themes di aggiornare immediatamente a una versione sicura o di sostituirla con l’ultima versione di WordPress[.]org.
Inoltre, è necessario che venga implementata una versione pulita di WordPress per ripristinare le modifiche apportate durante l’installazione della backdoor. I risultati arrivano anche quando la società di sicurezza di WordPress Wordfence ha divulgato i dettagli di una vulnerabilità di cross-site scripting (XSS) ora patchata che ha un impatto su un plug-in chiamato “WordPress Email Template Designer – WP HTML Mail” installato su oltre 20.000 siti Web.
Secondo le statistiche pubblicate da Risk Based Security questo mese, sono stati scoperti e segnalati ben 2.240 difetti di sicurezza nei plugin di WordPress di terze parti verso la fine del 2021, con un aumento del 142% rispetto al 2020, quando sono state rivelate quasi 1.000 vulnerabilità. Ad oggi, sono state scoperte un totale di 10.359 vulnerabilità dei plugin di WordPress.
