Consorzio Metis

CSIRT Toscana

CSIRT Toscana

Rilevata compromissione di plugin per WordPress (AL02/240625/CSIRT-ITA)

Data:
25 Giugno 2024 11:13

Sintesi

È stata recentemente rilevata la compromissione di alcuni plugin per WordPress, utilizzati dagli attaccanti per iniettare codice malevolo ed esfiltrare informazioni sensibili.

Rischio

Stima d’impatto della vulnerabilità sulla comunità di riferimento: ALTO/ARANCIONE (73,07/100)1.

Tipologia

  • Remote Code Execution
  • Information Leakage
  • Privilege Escalation

Descrizione e potenziali impatti

Il Wordfence Threat Intelligence team ha recentemente rilevato la compromissione di alcuni plugin per WordPress, all’interno dei quali è stato identificato del codice PHP malevolo.

Nel dettaglio, tale codice risulterebbe in grado di eseguire le seguenti attività sulle istanze impattate:

  • esfiltrare il database delle credenziali utente;
  • creare utenze di tipo amministrativo;
  • comunicare con il server di C2 sotto il controllo degli attaccanti;
  • inserire nel footer delle pagine web delle piattaforme interessate del codice JavaScript, al fine di acquisire visibilità nei motori di ricerca tramite la tecnica “SEO spam” (spamdexing).

Per eventuali ulteriori approfondimenti si consiglia di consultare il link al bollettino di sicurezza Wordfence, presente nella sezione Riferimenti.

Prodotti e versioni affette

Si riportano, allo stato, i plugin infetti rilevati dai ricercatori di sicurezza:

  • Social Warfare, dalla versione 4.4.6.4 alla 4.4.7.1
  • Blaze Widget, dalla versione 2.2.5 alla 2.5.2
  • Wrapper Link Element, versioni 1.0.2 e 1.0.3
  • Contact Form 7 Multi-Step Addon, versioni 1.0.4 e 1.0.5
  • Simply Show Hooks, versione 1.2.1

Azioni di mitigazione

In linea con le dichiarazioni dei ricercatori di sicurezza, in attesa del rilascio delle nuove versioni dei plugin, si consiglia la tempestiva rimozione delle versioni malevole e il monitoraggio dei repository degli sviluppatori dei suddetti plugin.

Infine, si raccomanda di valutare la verifica e l’implementazione – sui propri apparati di sicurezza – degli Indicatori di Compromissione (IoC)2 presenti nel bollettino di sicurezza Wordfence.

Identificatori univoci vulnerabilità

CVE-2024-6297

Riferimenti

https://www.wordfence.com/blog/2024/06/supply-chain-attack-on-wordpress-org-plugins-leads-to-5-maliciously-compromised-wordpress-plugins/

https://www.wordfence.com/threat-intel/vulnerabilities/detail/several-wordpressorg-plugins-various-versions-injected-backdoor

https://wordpress.org/support/topic/a-security-message-from-the-plugin-review-team/

1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.

2Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità.