Su questa pagina: [nascondere]
I ricercatori di sicurezza hanno recentemente segnalato una vulnerabilità del plug-in File Manager. Che inizialmente ha messo in pericolo più di 700,000 Siti WordPress. però, in pochi giorni, il numero di siti attaccati raggiunto 2.6 milione.
Più aggressori che sfruttano la vulnerabilità del plug-in di File Manager
Secondo Wordfence (Ribelle) ricercatori, la colpa è di più attori della minaccia per questi attacchi, con due specifici attori della minaccia che hanno avuto maggior successo negli exploit. Sembra che questi aggressori ora proteggano con password le copie vulnerabili di un file specifico, noto come connector.minimal.php.
I più attivi di questi aggressori sono stati identificati come “bajatax”. In precedenza ha rubato credenziali dai siti PrestaShop. Gli indicatori di compromissione scoperti dai ricercatori includono semplici file che contenevano il file “bajatax” corda. E modifiche ai dati vulnerabili di connector.minimal.php originali. L'ultima linea è progettata per bloccare tutti gli altri potenziali aggressori. I ricercatori’ le scoperte sottolineano che questi file vengono utilizzati da alcuni degli IP più dinamici utilizzati negli attacchi.
Ai siti infetti verrà aggiunto codice dannoso. Questo codice utilizza l'API di Telegram per esfiltrare le credenziali di tutti gli utenti che accedono al sito compromesso. Anche, lo stesso principio viene aggiunto alla cartella user.php, che è un file WordPress di base.
Il secondo attaccante che sfrutta la vulnerabilità del File Manager con grande successo sta eliminando un infettore specifico, feoidasf4e0_index.php, con un hash MD5 di 6ea6623e8479a65e711124e77aa47e4c. E una backdoor inserita da questo infettore, Wordfence dice nel rapporto ufficiale. Questo aggressore è anche una password che protegge il connector.mininal.php per tentare di bloccare altri attori della minaccia.
I ricercatori sottolineano anche che la backdoor utilizzata da questo secondo attore è in uso da molti anni. però, più copie possono essere sparse su un singolo sito infetto, portando alla persistenza se non è presente alcuna protezione.
inoltre, una volta che le backdoor sono state installate con successo. L'autore dell'attacco li utilizza per apportare ulteriori modifiche ai file principali di WordPress.
Cosa dovresti fare se hai utilizzato una versione vulnerabile del plugin File Manager?
Il miglior consiglio di sicurezza è usare uno strumento di sicurezza per scansionare il tuo sito alla ricerca di malware. Nel caso in cui scopri che il tuo sito è stato compromesso dagli attacchi descritti in questo articolo. Dovresti considerare di pulire il tuo sito web prima di fare qualsiasi altra cosa.
Se sei il proprietario di un sito di e-commerce, dovresti anche contattare tutti i tuoi utenti. Facendogli sapere che le loro credenziali potrebbero essere state compromesse. Puoi anche testare la sicurezza generale del tuo sito web utilizzando i suggerimenti forniti nell'articolo di seguito:
Leggi anche Come testare la sicurezza del tuo sito WordPress