Zero-day nel Plugin Wordpress "WPGateway" sfruttato attivamente negli attacchi
Pubblicato da Angelo Domeneghini in Vulnerabilità zero-day · 14 Settembre 2022
Tags: #zero, day, #Wordpress, #WPGateway, #sicurezza
Tags: #zero, day, #Wordpress, #WPGateway, #sicurezza
Zero-day nel Plugin Wordpress "WPGateway" sfruttato attivamente negli attacchi
WordPress
Il team di Wordfence Threat Intelligence ha avvertito oggi che i siti WordPress sono attivamente presi di mira con exploit mirati a una vulnerabilità zero-day nel plug-in premium di WPGateway.
WPGateway è un plug-in di WordPress che consente agli amministratori di semplificare varie attività, inclusa la configurazione e il backup dei siti e la gestione di temi e plug-in da una dashboard centrale.
Questo fondamentale difetto di sicurezza dell'escalation dei privilegi (CVE-2022-3180) consente agli aggressori non autenticati di aggiungere un utente canaglia con privilegi di amministratore per assumere completamente i siti che eseguono il plugin WordPress vulnerabile.
"L'8 settembre 2022, il team di Wordfence Threat Intelligence è venuto a conoscenza di una vulnerabilità zero-day sfruttata attivamente utilizzata per aggiungere un utente amministratore malintenzionato ai siti che eseguono il plug-in WPGateway", ha affermato oggi Ram Gall, analista senior delle minacce di Wordfence.
"Il firewall di Wordfence ha bloccato con successo oltre 4,6 milioni di attacchi mirati a questa vulnerabilità contro più di 280.000 siti negli ultimi 30 giorni."
Sebbene Wordfence abbia rivelato lo sfruttamento attivo di questo bug di sicurezza in natura, non ha rilasciato informazioni aggiuntive su questi attacchi e dettagli sulla vulnerabilità.
Trattenendo queste informazioni, Wordfence afferma di voler prevenire un ulteriore sfruttamento. Ciò probabilmente consentirà anche a più clienti WPGateway di applicare patch alle proprie installazioni prima che altri aggressori sviluppino i propri exploit e si uniscano agli attacchi.
Come scoprire se il tuo sito è stato violato
Se vuoi verificare se il tuo sito web è stato compromesso in questa campagna in corso, devi cercare un nuovo utente con autorizzazioni di amministratore con il nome utente rangex.
Inoltre, le richieste a //wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1 nei log mostreranno che il tuo sito è stato preso di mira nell'attacco ma non è stato necessariamente compromesso.
** "Se hai installato il plug-in WPGateway, ti invitiamo a rimuoverlo immediatamente fino a quando non sarà disponibile una patch e a verificare la presenza di utenti amministratori dannosi nella dashboard di WordPress", ha avvertito Gall.
** "Se conosci un amico o un collega che sta utilizzando questo plug-in sul proprio sito, ti consigliamo vivamente di inoltrare loro questo avviso per aiutare a proteggere i loro siti, poiché si tratta di una grave vulnerabilità che viene attivamente sfruttata in natura".