I ricercatori IT di Wordfence hanno scoperto lo stesso codice dannoso in cinque plugin CMS WordPress. Solo uno dei plugin interessati ha un aggiornamento che rimuove il malware. Gli altri plugin devono essere disinstallati.
annuncio
In uno Post sul blog scritto da Wordfenceche lunedì di questa settimana l’attenzione è stata attirata sul plugin Social Warfare attraverso un post sul forum in cui Segnalato dal team di revisione dei plugin di WordPressSabato è stato iniettato lì questo codice dannoso. Dopo aver esaminato il plugin, i ricercatori IT di Wordfence hanno trovato altri quattro plugin contenenti il relativo codice dannoso.
Il codice dannoso crea account amministratore in WordPress
Un utente malintenzionato ha compromesso il codice sorgente di diversi plug-in e ha inserito codice che sottrae le credenziali del database e le utilizza per creare nuovi account amministratore dannosi e inviare tali dati al server. Questo è ciò che Wordfence ha scritto nella voce CVE per il gap (CVE-2024-6297Non esiste ancora un valore CVSS né una valutazione del rischio). Nel post del blog i ricercatori informatici aggiungono che il codice Javascript dannoso finisce apparentemente nel footer dei siti web, incluso lo spam SEO sulle pagine.
I seguenti plugin sono infetti da malware:
- Guerra socialeversione 4.4.6.4 – 4.4.7.1, oltre 30.000 installazioni
- Widget di fuocoversione 2.2.5 – 2.5.2, oltre 60 installazioni
- Elemento di collegamento compostoversione 1.0.2 – 1.0.3, oltre 1000 installazioni
- Modulo di contatto-7-Multi-Step-Appendiceversione 1.0.4 – 1.0.5, oltre 700 installazioni
- Mostra semplicemente i ganciversione 1.2.1, nessuna installazione attiva.
Esiste una versione patchata di Social Warfare e si dice che la versione 4.4.7.3 sia pulita. Nell’elemento Wrapper Link, Wordfence afferma che sembra che qualcuno abbia rimosso il codice dannoso, ma l’ultima versione disponibile è la 1.0.0, che ha un numero di versione inferiore rispetto alle versioni interessate. Pertanto i gestori dei siti web devono disinstallare i plugin senza un aggiornamento disponibile.
WordPress ora ha bloccato il download dei plugin. Chiunque abbia installato i plugin dovrebbe considerare la propria istanza come compromessa e dovrebbe intraprendere azioni di emergenza per contenere gli incidenti di sicurezza IT. Ciò include il controllo degli account amministratore di WordPress e l’eliminazione di account non autorizzati, nonché la verifica dell’installazione di codice dannoso e la sua rimozione se necessario.
A causa dell’elevato numero di plugin di WordPress, i ricercatori informatici scoprono ogni giorno che alcuni di essi presentano lacune nella sicurezza. Ad aprile i dipendenti di Wordfence hanno scoperto una vulnerabilità nel plugin Layerslider. È stato ritenuto critico e ha consentito agli aggressori di inserire i propri comandi SQL.
(il tuo sangue)
“Esperto di birra per tutta la vita. Appassionato di viaggi in generale. Appassionato di social media. Esperto di zombi. Comunicatore.”