Approfondimento sulla vulnerabilità di SQL injection (SQLi) del plugin WordPress WP-Automatic e sugli attacchi ad esso correlati.
WP-Automatic è un plugin WordPress largamente utilizzato nella community grazie alle sue capacità di importare contenuti da svariate fonti web: feed RSS, piattaforme social, blog, canali video e molti altri. Tuttavia, recenti scoperte hanno messo in luce una vulnerabilità di grave entità afflitta dal plugin, una falla che mette a rischio la salute digitale dei siti WordPress che ne usufruiscono.
Identificata come una vulnerabilità di tipo SQL injection (SQLi), è in grado di sfruttare la mancata validazione dei dati in entrata per condurre query SQL arbitrarie sul database dei siti. Gli scenari possibili a questo punto sono molteplici e pericolosi: il furto di dati sensibili, l’alterazione o cancellazione di dati, la creazione di account con privilegi elevati, l’esecuzione di codici malevoli e, nel peggiore dei casi, la completa compromissione del sito web.
La vulnerabilità in questione, catalogata con il codice CVE-2024-27956 da Patchstack, una piattaforma di sicurezza per WordPress, ha ricevuto un punteggio di gravità di 9,9 su 10, segno della sua pericolosità. Tutte le versioni del plugin WP-Automatic precedenti alla 3.9.2.0, rilasciata il 15 Marzo 2024, sono afflitte da tale vulnerabilità e, pertanto, gli utenti del plugin sono caldamente esortati ad aggiornarlo alla versione più recente per aumentare la sicurezza dei propri siti.
Oltre a ciò, WPScan, noto player nel campo della sicurezza WordPress, ha riportato un’attiva serie d’attacchi che mira a creare account amministrativi attraverso la sfruttamento della vulnerabilità del plugin WP-Automatic. In soltanto una settimana, sono stati registrati più di 100.000 tentativi di attacco provenienti da variegate zone del globo.
Il modus operandi degli aggressori è piuttosto semplice ma efficace: inviano una richiesta HTTP POST al file /wp-content/plugins/wp-automatic/inc/csv.php, encaricato dell’importazione dei dati da file CSV. Tale richiesta contiene un parametro “utente” che include una query SQL arbitraria, la quale viene eseguita dal file senza alcun tipo di validazione. La query SQL consente agli aggressori di creare un nuovo account utente con privilegi da amministratore, fornendo un nome utente, una password e un indirizzo email di loro scelta. Dal momento che l’account è creato, gli aggressori possono accedere al pannello di amministrazione dei siti WordPress e installare o modificare plugin per condurre azioni illecite.
Accedere a un sito WordPress e perpetrare attacchi malevoli non è l’unico obiettivo degli aggressori, che successivamente provvedono a creare delle backdoor e offuscare il codice per preservare la loro presenza sul sito. Con questo fine, rinominano il file vulnerabile di WP-Automatic per evitare sia ulteriori attacchi da altri aggressori, sia il rilevamento da parte dei titolari. In maniera tale, gli aggressori possono mantenere l’accesso al sito WordPress anche se il plugin viene aggiornato o disinstallato.
I danni per i titolari dei siti WordPress potrebbero essere consistenti, a partire dal deterioramento della fiducia da parte dei loro utenti, danni reputazionali, fino ad arrivare a sanzioni legali o finanziarie, o poter essere vittime di ulteriori attacchi come il ransomware, phishing o il defacement del sito.
Per limitare il rischio di violazione, oltre all’aggiornamento del plugin WP Automatic alla versione 3.92.1 o successiva, si raccomanda agli amministratori dei siti WordPress di adottare buone pratiche di sicurezza come l’uso di password forti e uniche, la limitazione del numero di tentativi di accesso, il blocco degli indirizzi IP sospetti, l’utilizzo di un plugin di sicurezza che offre protezione da attacchi comuni, come i firewall, scanner di malware, backup e ripristini e la vigilanza costante sul sito per rilevare eventuali anomalie, modifiche o attività sospette. Infine, mantenere sempre aggiornati WordPress, i plugin e i temi, e rimuovere quelli inutilizzati o obsoleti.