WordPress: sfruttato bug LiteSpeed Cache per controllare siti web

Alcuni hacker hanno preso di mira i siti WordPress con una versione obsoleta di LiteSpeed Cache (LS Cache), plugin di memorizzazione nella cache utilizzato in oltre cinque milioni di siti. Ciò permette loro creare utenti amministratori e ottenere il controllo dei siti web. Il team di sicurezza di WPScan ha osservato ad aprile un aumento dell'attività da parte di autori di minacce che scansionavano e compromettevano siti WordPress con versioni del plugin precedenti alla 5.7.0.1. Queste sono vulnerabili a un difetto di scripting cross-site non autenticato di elevata gravità (8.8) tracciato come CVE-2023-40000.

WPScan riporta che da un indirizzo IP (94[.]102[.]51[.]144) sono arrivate più di 1,2 milioni di richieste di sondaggio durante la scansione di siti vulnerabili. Il team segnala inoltre che gli attacchi utilizzano codice JavaScript dannoso inserito nei file WordPress critici o nel database. Ciò consente di creare utenti amministratori denominati "wpsupp-user" o "wp-configuser". Un altro segno di infezione è la presenza della stringa "eval(atob(Strings.fromCharCode" nell'opzione "litespeed.admin_display.messages" nel database. Gran parte degli utenti di LiteSpeed Cache sono migrati a versioni più recenti che non sono interessate da CVE-2023-40000, ma un numero significativo, fino a 1.835.000, utilizza ancora una versione vulnerabile.

WordPress: preso di mira anche il plugin Email Subscribers

La possibilità di creare account amministratore sui siti WordPress offre agli aggressori il pieno controllo sul sito web. Ciò significa che possono modificare contenuti, installare plug-in, impostazioni critiche, reindirizzare il traffico verso siti non sicuri, distribuire malware, eseguire phishing o rubare i dati utente. All'inizio della settimana, Wallarm ha riferito di un'altra campagna mirata a un plug-in WordPress per creare account amministratore, denominato "Email Subscribers". In questo caso, hacker sfruttano CVE-2024-2876, una vulnerabilità critica di SQL injection con un punteggio di gravità di 9,8/10 che colpisce le versioni del plugin 5.7.14 e precedenti.

Ad oggi Email Subscribers è molto meno popolare di LiteSpeed Cache, con un totale di 90.000 installazioni attive. Tuttavia, gli attacchi osservati mostrano che gli hacker non si sottraggono a nessuna opportunità. Si consiglia agli amministratori dei siti WordPress di aggiornare i plugin alla versione più recente. Inoltre, è anche utile rimuovere o disabilitare i componenti non necessari e monitorare la creazione di nuovi account amministratore. In caso di violazione confermata è obbligatoria una pulizia completa del sito. Il processo richiede l'eliminazione di tutti gli account non autorizzati, ma anche la reimpostazione delle password per tutti gli account esistenti e il ripristino del database e dei file del sito da backup puliti.