Vulnerabilità grave su WordPress, aumentano attacchi contro siti esposti
Gli attacchi sui siti web che utilizzano una versione non aggiornata di WordPress stanno aumentando ad una velocità “virale”. Sono state scoperte almeno 2 milioni di pagine da quando meno di due settimane fa è stata rivelata una grave vulnerabilità nella piattaforma, con la cifra che negli scorsi giorni è aumentata di parecchi punti percentuali. I nuovi attacchi fanno uso di una vulnerabilità che WordPress ha sistemato nella versione 4.7.2 rilasciata lo scorso 26 gennaio.
A lanciare l’allarme è la compagnia di sicurezza Wordfence, che nota come il 3 febbraio, dopo due giorni che l’exploit è stato reso pubblico, ci sia stato un evidente picco nel tentativo di sfruttamento del bug nell’interfaccia di programmazione REST di WordPress. Gli attacchi hanno continuato ad aumentare nei giorni successivi e il 6 febbraio erano già stati bloccati 4 mila tentativi di exploit, mentre il giorno successivo circa 13 mila nei siti monitorati dalla compagnia.
Wordfence ha mostrato anche un grafico di Google Trends in cui si può osservare il numero in aumento di tentativi di hack una volta divulgata la vulnerabilità e lanciato il fix. Il numero di tentativi di attacco misurato fra le ricerche Google era di 1,5 milioni giovedì, ed è cresciuto il giorno successivo a 1,89 milioni: “Come potete vedere la campagna che ha preso di mira la vulnerabilità REST-API sta continuando con una tendenza in crescita”, scrive Mark Maunder, di Wordfence.
“Il numero di indirizzi IP che attaccano è aumentato e il numero di campagne pure”. Anche la società di sicurezza Sucuri ha notato un certo fermento. Venerdì il fondatore e CTO Daniel Cid avvisava che gli aggressori avrebbero presto usato exploit potenzialmente più dannosi capaci di eseguire codice da remoto. Ad essere vulnerabili a questa possibilità sono i siti che utilizzano plug-in come Insert PHP ed Exec-PHP, che consentono ai visitatori di personalizzare i post inserendo codice basato sul linguaggio PHP al loro interno.
“Stiamo notando l’uso di questo tipo di attacchi su alcuni siti ed è probabile che questo sarà il modo in cui la vulnerabilità sarà sfruttata prossimamente, nei prossimi giorni, settimane e forse anche mesi”, ha scritto Cid. La raccomandazione per gli amministratori, qualora l’aggiornamento non dovesse essere possibile, è di disinstallare questi plug-in o altri plug-in simili per evitare complicazioni e problemi gravi sulle proprie pagine web e sui propri servizi. (fonte)
