Attacco massivo verso siti WordPress basati su Framework Epsilon
In questi giorni si è verificato un attacco su larga scala verso siti internet che utilizzano WordPress; in particolare sono stati oggetti di attacco quelli che utilizzano il framework Epsilon Framework.
L’attacco è stato scovato da ricercatori di Wordfence notando un’impennata di attacchi provenienti da circa 18.000 indirizzi IP e diretti verso circa 1,6 milioni di installazioni WordPress.
L’attacco è stato di tipo “Function inject“; sono state sfruttate le vulnerabilità del framework per generare, sui siti compromessi, utenti con credenziali di amministratore. Nel dettaglio, tale vulnerabilità ha permesso agli hacker di attivare l’opzione users_can_register e successivamente di impostare l’opzione default_role a administrator. In questo modo hanno avuto la possibilità di registrare utenti con diritti di amministratore. Considerando inoltre che “spesso” i siti non vengono aggiornati (plugins e themes), l’attacco ha avuto facile penetrazione e impatto maggiore.
Questi sono i plugin oggetto di vulnerabilità:
- PublishPress Capabilities <= 2.3
- Kiwi Social Plugin <= 2.0.10
- Pinterest Automatic <= 4.14.3
- WordPress Automatic <= 3.53.2
Questi sono invece i temi vulnerabili basati su Epsilon Frameword:
- Shapely <=1.2.7
- NewsMag <=2.4.1
- Activello <=1.4.0
- Illdy <=2.1.4
- Allegiant <=1.2.2
- Giornale X <=1.3.1
- Pixova Lite <=2.0.5
- Brilliance <=1.2.7
- MedZone Lite <=1.2.4
- Regina Lite <=2.0.4
- Transcend <=1.1.8
- Affluent <1.1.0
- Bonkers <=1.0.4
- Antreas <=1.0.2
- NatureMag Lite <=1.0.5
Per tutti i temi (tranne che per NatureMag Lite) sono state rilasciate della patch.
Il consiglio (banale) che viene indicato è quello di revisionare gli account del sito basato sul Framework Epsilon; inoltre rivedere la possibilità di permettere a chiunque di registrarsi.
