Secondo gli esperti di sicurezza Wordfence di WordPress si starebbe sfruttando attivamente, per caricare backdoor, ottenere l’esecuzione di codice in modalità remota ed eseguire attacchi di acquisizione, un difetto critico (tracciato come CVE-2022-45359, CVSS v3: 9.8) in un plug-in utilizzato su oltre 50.000 siti WorPress (YITH WooCommerce Gift Cards Premium). Tale vulnerabilità (divulgata il 22 novembre 2022) avrebbe avuto un impatto su tutte le versioni del plugin fino alla 3.19.0.
L’exploit
Il team Wordfence Threat Intelligence sarebbe stato in grado di eseguire il reverse engineering dell’exploit su di una copia del plugin vulnerabile, constatando che il problema risiederebbe nella funzione “import_actions_from_settings_panel” consentendo a utenti non autenticati di inviare richieste POST a “/wp-admin/admin-post.php” per caricare file PHP malevoli sul sito WordPress vulnerabile. In particolare i file PHP rilevati da Wordfence sarebbero i seguenti:
- kon.php/1tes.php – questo file carica in memoria una copia del file manager “marijuana shell” da una postazione remota (shell[.]prinsh[.]com)
- b.php – semplice file uploader
- admin.php – una backdor protetta con password
“Sebbene abbiamo visto attacchi da più di cento IP, la stragrande maggioranza degli attacchi proveniva da solo due indirizzi IP:103.138.108.15, che ha inviato 19604 attacchi contro 10936 siti diversi e 188.66.0.135, che ha inviato 1220 attacchi contro 928 siti” , commenta l’analista Ram Gallo sul rapporto.
Le raccomandazioni
Poiché i tentativi di sfruttamento sarebbero ancora in corso e la vulnerabilità sarebbe facile da sfruttare fornendo pieno accesso a un sito Web vulnerabile, Wordfence consiglia agli utenti di eseguire, il prima possibile, l’aggiornamento alla versione 3.21.0 del plugin YITH WooCommerce Gift Cards Premium.
Wordfence riferisce inoltre che la maggior parte degli attacchi si è verificata a novembre prima della correziome del difetto, ma un secondo picco sarebbe stato rilevato lo scorso 14 dicembre.
