Attacchi alla catena di distribuzione dei plugin di WordPress in aumento

Gli attacchi alla catena di distribuzione dei plugin di WordPress si stanno intensificando

I plugin di WordPress continuano ad essere sotto attacco da parte di hacker che utilizzano credenziali rubate (da altre violazioni di dati) per ottenere accesso diretto al codice del plugin. Ciò che rende particolarmente preoccupanti questi attacchi è che possono infiltrarsi come normali aggiornamenti ai plugin, passando così inosservati agli utenti.

Attacco alla catena di distribuzione

La vulnerabilità più comune si verifica quando una falla nel software consente a un attaccante di iniettare codice maligno o lanciare qualche altro tipo di attacco. Ma un attacco alla catena di distribuzione avviene quando il software stesso o un componente di quel software (come uno script di terze parti utilizzato all’interno del software) viene modificato direttamente con codice maligno. Questo crea la situazione in cui è il software stesso a distribuire i file maligni.

L’Agenzia per la sicurezza informatica e l’infrastruttura degli Stati Uniti (CISA) definisce così un attacco alla catena di distribuzione: “Un attacco alla catena di distribuzione del software avviene quando un attore minaccioso informatico si infiltra nella rete di un fornitore di software e utilizza codice maligno per compromettere il software prima che il fornitore lo invii ai propri clienti. Il software compromesso compromette quindi i dati o il sistema del cliente. Il software appena acquisito può essere compromesso fin dall’inizio, oppure il compromesso può avvenire attraverso altri mezzi come un aggiornamento o un hotfix. In questi casi, il compromesso avviene sempre prima che l’aggiornamento o l’hotfix entrino nella rete del cliente. Questi tipi di attacchi coinvolgono tutti gli utenti del software compromesso e possono avere conseguenze diffuse per i clienti del governo, delle infrastrutture critiche e del settore privato.”

Per questo specifico attacco ai plugin di WordPress, gli attaccanti utilizzano credenziali di accesso rubate per ottenere accesso ai conti degli sviluppatori che hanno accesso diretto al codice del plugin per aggiungere codice maligno ai plugin al fine di creare account utente di livello amministratore su tutti i siti web che utilizzano i plugin di WordPress compromessi.

Oggi, Wordfence ha annunciato che sono stati identificati ulteriori plugin di WordPress compromessi. È molto probabile che ci siano o ci saranno altri plugin compromessi. Quindi è importante capire cosa sta accadendo e agire in modo proattivo per proteggere i siti sotto il tuo controllo.

Altri plugin di WordPress attaccati

Wordfence ha emesso un avviso che altri plugin sono stati compromessi, tra cui un plugin di podcast molto popolare chiamato PowerPress Podcasting plugin di Blubrry.

Questi sono i plugin compromessi appena scoperti annunciati da Wordfence:

– WP Server Health Stats (wp-server-stats): 1.7.6 Versione aggiornata: 1.7.8 10.000 installazioni attive
– Ad Invalid Click Protector (AICP) (ad-invalid-click-protector): 1.2.9 Versione aggiornata: 1.2.10 30.000+ installazioni attive
– PowerPress Podcasting plugin di Blubrry (powerpress): 11.9.3 – 11.9.4 Versione aggiornata: 11.9.6 40.000+ installazioni attive
– Ultima infezione – Seo Optimized Images (seo-optimized-images): 2.1.2 Versione aggiornata: 2.1.4 10.000+ installazioni attive
– Ultima infezione – Pods – Custom Content Types and Fields (pods): 3.2.2 Versione aggiornata: non è attualmente necessaria alcuna versione aggiornata. 100.000+ installazioni attive
– Ultima infezione – Twenty20 Image Before-After (twenty20): 1.6.2, 1.6.3, 1.5.4 Versione aggiornata: non è attualmente necessaria alcuna versione aggiornata. 20.000+ installazioni attive

– Social Warfare
– Blaze Widget
– Wrapper Link Element
– Contact Form 7 Multi-Step Addon
– Simply Show Hooks

Maggiori informazioni sull’attacco alla catena di distribuzione dei plugin di WordPress qui.

Cosa fare se si utilizza un plugin compromesso

Alcuni dei plugin sono stati aggiornati per risolvere il problema, ma non tutti. Indipendentemente dal fatto che il plugin compromesso sia stato corretto per rimuovere il codice maligno e la password dello sviluppatore aggiornata, i proprietari del sito dovrebbero controllare il proprio database per assicurarsi che non siano stati aggiunti account amministratore fraudolenti al sito WordPress.

L’attacco crea account amministratori con nomi utente come “Options” o “PluginAuth”, quindi sono questi i nomi utente da controllare. Tuttavia, è probabilmente una buona idea verificare la presenza di eventuali nuovi account utente di livello amministratore non riconosciuti nel caso in cui l’attacco sia evoluto e gli hacker stiano utilizzando account amministratori diversi.

I proprietari del sito che utilizzano la versione gratuita o Pro del plugin di sicurezza Wordfence di WordPress ricevono una notifica se viene scoperto un plugin compromesso. Gli utenti di livello Pro del plugin ricevono firme malware per rilevare immediatamente i plugin infetti.

L’avviso ufficiale di Wordfence su questi nuovi plugin infetti consiglia: “Se hai installato uno di questi plugin, dovresti considerare la tua installazione compromessa e entrare immediatamente in modalità di risposta agli incidenti. Consigliamo di controllare gli account utente amministrativi di WordPress e eliminare quelli non autorizzati, insieme all’esecuzione di una scansione completa dei malware con il plugin Wordfence o Wordfence CLI e rimuovere ogni codice maligno. Gli utenti Premium, Care e Response di Wordfence, così come gli utenti paganti di Wordfence CLI, hanno firme malware per rilevare questi malware. Gli utenti gratuiti di Wordfence riceveranno la stessa rilevazione dopo un ritardo di 30 giorni il 25 luglio 2024. Se esegui una versione dannosa di uno dei plugin, sarai informato dallo scanner di vulnerabilità di Wordfence che hai una vulnerabilità sul tuo sito e dovresti aggiornare il plugin, se disponibile, o rimuoverlo al più presto.”

Per ulteriori informazioni:

– WordPress Plugins Compromised At The Source – Supply Chain Attack
– 3 More Plugins Infected in WordPress.org Supply Chain Attack Due to Compromised Developer Passwords.