Gli utenti di WordPress.org, il dominio principale del famoso e diffuso CMS, questa mattina -29 luglio2024 – hanno ricevuto una mail ben poco rassicurante relativa allo sfruttamento non autorizzato di alcune credenziali esposte in data breach di terze parti che hanno consentito ad alcuni attori malevoli di inserire codice malevolo dentro alcuni plugin.
Hello [username],
As a follow-up on the Andrew Wilder (NerdPress) and Chloe Chamberland (WordFence) reports that uncovered a limited number of compromised plugins, the Plugin Review team would like to provide more details about the case.
We identified that some plugin authors were reusing passwords exposed in data breaches elsewhere. The compromised accounts were not the result of an exploit on WordPress.org. Instead, the attackers used recycled passwords to add malicious code to a few plugins on the WordPress.org Plugin Directory.
First, out of an abundance of caution, additional plugin releases have been paused, and all new plugin commits temporarily need approval by the team. This way, we have the opportunity to confirm that the attackers cannot add malicious code to more plugins.
We have begun to force reset passwords for all plugin authors and some other users whose information was found by security researchers in data breaches. This will affect some users' ability to interact with WordPress.org or perform commits until their password is reset.
Nella comunicazione non sono indicati i plugin impattati dall’attacco ma il relativo articolo su BleepingComputer riporta l’elenco di 5 plugin compromessi, che coinvolgerebbero complessivamente –secondo le statistiche indicate– almeno 35.000 installazioni:
- Social Warfare 4.4.6.4 to 4.4.7.1 (fixed in version 4.4.7.3)
- Blaze Widget 2.2.5 to 2.5.2 (fixed in version 2.5.4)
- Wrapper Link Element 1.0.2 to 1.0.3 (fixed in version 1.0.5)
- Contact Form 7 Multi-Step Addon 1.0.4 to 1.0.5 (fixed in version 1.0.7)
- Simply Show Hooks 1.2.1 to 1.2.2 (no fix available yet)
Sempre nell’articolo è indicato l’IoC da monitorare per individuare eventuali compromissioni del malware. Malware che, stando a quanto riportato, agirebbe creando una nuova utenza amministrativa (nome utente “Options” o “PluginAuth“), poi inviata al C&C dell’attaccante (IP 94.156.79[.]8) . Inoltre, viene inserito del javascript malevolo nel footer dei siti web (probabilmente con un hook al relativo callback) per alimentare il ranking SEO di siti di spam.
Tornando alla comunicazione, il reset delle credenziali dell’account sviluppatore sulla piattaforma wordpress.org è sicuramente un passo opportuno e doveroso, anche se avrei onestamente introdotto obbligatoriamente una 2FA per evitare ulteriori future compromissioni.
Ancora una volta il popolare CMS WordPress è preso di mira dal cybercrimine. Del resto, l’estrema diffusione e la modularità della piattaforma, che offre agli attaccanti una superficie di attacco molto ampia, lo rendono bersaglio privilegiato. A cui si aggiunge, purtroppo, non sempre adeguata professionalità nell’installazione e gestione delle piattaforme WordPress da parte di alcuni wannabe system administrators.
P.S. Come avrete notato, il blog si era preso un periodo di pausa, per motivi personali. Del resto, come ogni blog personale, non mancano battute di arresto più o meno lunghe. Terminato il periodo di burrasca, spero di tornare a pubblicare con maggiore frequenza e regolarità (e anche di recuperare il tempo perduto).