Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

WP-Automatic, un plugin WordPress con una grave vulnerabilità SQLi

Sandro Sana : 28 Aprile 2024 09:09

WPScan ha rilevato una campagna di attacchi che sfrutta un errore nel plugin WP-Automatic per creare account amministrativi e prendere il controllo dei siti WordPress.

Che cos’è WP-Automatic e perché è vulnerabile?

WP-Automatic è un plugin WordPress che consente di importare contenuti da vari siti web e fonti come feed RSS, social media, articoli, video, immagini e altro. Il plugin ha più di 30.000 installazioni attive e offre diverse funzionalità per personalizzare e automatizzare la creazione di contenuti.

Tuttavia, il plugin ha anche una grave vulnerabilità che mette a rischio la sicurezza dei siti WordPress che lo utilizzano. Si tratta di una SQL injection (SQLi), ovvero un tipo di attacco che sfrutta la mancata validazione dei dati in ingresso per eseguire query SQL arbitrarie al database del sito web. Questo può portare a vari scenari dannosi, come il furto di dati sensibili, la modifica o la cancellazione di dati, la creazione di account utente con privilegi elevati, l’esecuzione di codice arbitrario e il compromesso totale del sito web.

Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)

Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.

Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

La vulnerabilità in questione, identificata come CVE-2024-27956, è stata scoperta da Patchstack, una piattaforma di sicurezza per WordPress, e ha ricevuto un punteggio CVSS di 9,9 su un massimo di 10, indicando un livello di gravità molto alto. La vulnerabilità riguarda tutte le versioni del plugin fino alla 3.9.2.0, che è stata rilasciata il 15 marzo 2024 per correggere il problema. Gli utenti di WP-Automatic sono fortemente invitati ad aggiornare il plugin alla versione più recente per evitare di essere vittime di attacchi.

Come funziona l’attacco e quali sono le sue conseguenze?

WPScan, una società di sicurezza specializzata in WordPress, ha recentemente segnalato l’inizio di un’attiva campagna di attacchi che sfrutta la vulnerabilità di WP-Automatic per creare account amministrativi controllati e prendere il controllo dei siti WordPress vulnerabili. WPScan ha rilevato più di 100.000 tentativi di attacco in una sola settimana, provenienti da diversi indirizzi IP.

L’attacco funziona in questo modo: gli aggressori inviano una richiesta HTTP POST al file /wp-content/plugins/wp-automatic/inc/csv.php, che è responsabile dell’importazione dei dati da file CSV. La richiesta contiene un parametro chiamato “user” che contiene una query SQL arbitraria, che viene eseguita dal file senza alcuna validazione.

La query SQL permette agli aggressori di creare un nuovo account utente con privilegi di amministratore, fornendo un nome utente, una password e un indirizzo email a loro scelta. Una volta creato l’account, gli aggressori possono accedere al pannello di amministrazione del sito WordPress e installare plugin di caricamento file o modificare il codice per eseguire azioni dannose.

Dopo aver violato un sito WordPress, gli aggressori assicurano la persistenza creando backdoor e offuscando il codice. Per evitare il rilevamento, gli aggressori rinominano il file vulnerabile di WP-Automatic (da /wp-content/plugins/wp-automatic/inc/csv.php a wp-content/plugins/wp-automatic/inc/csv65f82ab408b3.php), anche per bloccare gli attacchi da parte di altri aggressori. In questo modo, gli aggressori possono mantenere l’accesso al sito WordPress anche se il plugin viene aggiornato o disinstallato.

Le conseguenze di un attacco di questo tipo possono essere devastanti per i proprietari dei siti WordPress, che possono perdere la fiducia dei loro utenti, subire danni alla reputazione, incorrere in sanzioni legali o finanziarie, o essere vittime di ulteriori attacchi, come il ransomware, il phishing o il defacement.

Qual è la portata dell’attacco e quali sono i dettagli tecnici?

Da allora, sono stati rilevati oltre 5,5 milioni di tentativi di attacco volti a sfruttare questa vulnerabilità. Ulteriori dettagli tecnici sulla vulnerabilità del plugin WP-Automatic rivelano che il plugin, attualmente installato su oltre 30.000 siti web, consente agli amministratori di automatizzare l’importazione di contenuti (ad esempio, testo, immagini, video) da varie fonti online e la pubblicazione sul loro sito WordPress.

Dopo aver ottenuto l’accesso da amministratore al sito web di destinazione, gli aggressori creano backdoor e offuscano il codice per renderlo più difficile da trovare. Per prevenire altri attacchi da parte di altri aggressori e per evitare il rilevamento, gli aggressori rinominano anche il file vulnerabile “csv.php”. Una volta ottenuto il controllo del sito web, l’attore della minaccia spesso installa ulteriori plugin che consentono il caricamento di file e la modifica del codice.

Gli amministratori possono verificare la presenza di un account amministratore che inizia con “xtw” e di file denominati web.php e index.php, che sono le backdoor piantate nella recente campagna. Per mitigare il rischio di violazione, i ricercatori raccomandano agli amministratori dei siti WordPress di aggiornare il plugin WP Automatic alla versione 3.92.1 o successiva. WPScan raccomanda inoltre ai proprietari dei siti web di creare frequentemente backup del loro sito in modo da poter installare rapidamente copie pulite in caso di compromissione.

Come proteggersi da questo tipo di attacchi?

La prima e più importante misura di protezione è aggiornare il plugin WP-Automatic alla versione più recente, che corregge la vulnerabilità. Gli utenti possono verificare la versione del plugin dal pannello di amministrazione di WordPress, sotto la sezione Plugin. Se il plugin non è aggiornato, è necessario farlo il prima possibile, cliccando sul pulsante Aggiorna ora.

Inoltre, è consigliabile seguire alcune buone pratiche di sicurezza per WordPress, come:

  • Utilizzare password forti e uniche per gli account utente e il database.
  • Limitare il numero di tentativi di accesso e bloccare gli indirizzi IP sospetti.
  • Utilizzare un plugin di sicurezza che offra protezione da attacchi comuni, come i firewall, gli scanner di malware, i backup e i ripristini.
  • Monitorare regolarmente il sito web per rilevare eventuali anomalie, modifiche o attività sospette.
  • Mantenere aggiornati WordPress, i plugin e i temi, e rimuovere quelli inutilizzati o obsoleti.

Conclusione

WP-Automatic è un plugin WordPress che può facilitare la creazione di contenuti, ma che presenta una grave vulnerabilità SQLi che espone i siti web a possibili attacchi. Gli utenti di questo plugin devono aggiornarlo al più presto per prevenire la compromissione dei loro siti.

Inoltre, devono seguire le raccomandazioni di sicurezza per WordPress e monitorare il loro sito per eventuali segni di intrusione. La sicurezza dei siti WordPress dipende in gran parte dalla responsabilità degli utenti e dalla qualità dei plugin che installano. È quindi fondamentale scegliere plugin affidabili e mantenere il proprio sito al passo con le ultime novità in materia di sicurezza.

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA.
Visita il sito web dell'autore

Articoli in evidenza

Crazyhunter: il nuovo ransomware con il “Sistema di Annientamento Dati Tridimensionale”

Nelle ricognizioni nel mondo dell’underground e dei gruppi criminali svolte dal laboratorio di intelligence delle minacce DarkLab di Red Hot Cyber, ci siamo imbattuti all’interno di un D...

Due mesi alla RHC Conference 2025! Grazie ai nostri Sponsor per aver reso questo evento possibile!

Mancano solo due mesi alla quarta edizione della Red Hot Cyber Conference 2025, l’evento annuale gratuito organizzato dalla community di Red Hot Cyber. La conferenza si terrà a Roma, come ...

Siti Italiani Presi di Mira! Il Deface di !FAKESITE e il Lato Oscuro dell’Hacktivismo

Negli ultimi giorni, diversi siti web italiani sono stati presi di mira da un attacco di defacement, una tecnica utilizzata per modificare il contenuto di una pagina web senza il consenso del propriet...

Italiani Nel Mirino: 464.508 Record Compromessi nei Forum underground in 2 giorni

Negli ultimi giorni, il panorama della cybersecurity italiana è stato scosso da una serie di massicci data leak che hanno esposto centinaia di migliaia di informazioni sensibili di cittadini e az...

La Terza Capture The Flag (CTF) di RHC è Pronta! Tra AI, Reti 4G e Stati Nazionali. Sei pronto?

Red Hot Cyber, come ogni anno all’interno della RHC Conference, ospiterà la nuova Capture The Flag realizzata in collaborazione con CyberSecurityUP e Hackmageddon e Fondazione Bruno Kessle...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS

Copyright @ REDHOTCYBER Srl
PIVA 17898011006