Oltre 90 temi e plugin per WordPress sarebbero risultati vulnerabili: scopri se il tuo sito è coinvolto e trova le istruzioni per eliminare la backdoor. Durante un approfondimento relativo ad una possibile attività maligna su WordPress, i ricercatori di sicurezza Automattic hanno scoperto un problema ben più preoccupante. Si è scoperto, infatti, come tutte le produzioni AccessPress Themes (temi e plugin) sono stati violati e i loro prodotti sono pertanto diventati possibili arieti per i malintenzionati che son riusciti a metterci su le mani. WordPress, plugin e temi violati Il problema sarebbe grave per due motivi: il codice inoculato consentirebbe di prendere pieno controllo di un sito Web violato ed i siti coinvolti sarebbero oltre 350 mila (oltre 90 i temi vulnerabili). Le indagini hanno portato ad immediate conferme: la violazione sarebbe avvenuta fin dallo scorso mese di settembre all'insaputa del gruppo colpito – e usato come tramite per nuovi ed ulteriori attacchi. Per quanto riguarda i plugin, i codici sono stati ripuliti e con un semplice update il problema è risolto. Chi ha invece adottato uno dei temi AccessPress, non può far altro che cambiare tema ed evitare di lasciare in piedi la vulnerabilità sul proprio sito. Secondo l'analisi Sucuri, la violazione sarebbe monetizzata dai malintenzionati attraverso redirect su siti appositamente progettati per truffe o altri tentativi truffaldini. Per capire se si è rimasti coinvolti dal problema, è sufficiente analizzare il file wp-includes/vars.php: se si riscontra una funzione “wp_is_mobile_fix” con alcuni codici offuscati, allora la compromissione è avvenuta ed è necessario intervenire per eliminare la pericolosa backdoor evidentemente presente. In tal caso ogni istruzione è disponibile sull'apposita pagina.
Giacomo Dotta Sicurezza Malware e virusIn molti temi e plugin per WordPress, sviluppati da AccessPress, è stata inserita una backdoor che consente di ottenere il controllo dei siti web. WordPress I ricercatori di sicurezza di Automattic hanno scoperto che molti temi e plugin sviluppati da AccessPress sono stati compromessi e sostituiti con versioni contenenti backdoor. Ciò è avvenuto a settembre attraverso un “supply chain attack”. Secondo una prima stima, il problema riguarda circa 360.000 siti basati su WordPress. Backdoor in temi e plugin di AccessPress Un “supply chain attack” permette di accedere al sito che ospita il software e di sostituire la versione originale con una versione infetta. Il codice della backdoor scoperta da Automattic è presente in 40 temi e 53 plugin di AccessPress distribuiti dal sito ufficiale. Le versioni pubblicate nei repository di WordPress.org non sono state compromesse. Gli esperti di Sucuri hanno verificato che la backdoor consente di prendere il controllo dei siti. Il codice è stato aggiunto al file initial.php copiato nella directory principale del tema. La webshell della backdoor viene scritta nel file ./wp-includes/vars.php. Dopo l'installazione della backdoor, il file initial.php viene cancellato per nascondere le tracce. Tuttavia, un tool per il monitoraggio dell'integrità dei file può rilevare le modifiche apportate al file vars.php. La backdoor è stata sfruttata per distribuire spam e aprire siti con malware. Probabilmente gli autori dell'attacco hanno venduto l'accesso ai siti sul dark web. Per verificare se il sito è stato compromesso deve essere cercata la funzione “wp_is_mobile_fix” nel file vars.php. In caso di esito positivo è necessario sostituire tutti i file principali di WordPress e scaricare i temi e/o plugin di AccessPress da WordPress.org oppure scegliere soluzioni alternative.
ARTICOLO WP