Aggiornamenti recenti Aprile 18th, 2024 2:00 PM
Mag 24, 2018 Marco Schiaffino Attacchi, Malware, News, RSS 1
Non è una vulnerabilità, ma una nuova tecnica di attacco che potrebbe mettere a rischio migliaia di siti Internet gestiti attraverso WordPress. Secondo WordFence, infatti, ci sono già gruppi di cyber-criminali che la stanno sfruttando attivamente.
Ma di cosa si tratta e perché avrebbe effetti così devastanti? Per capirlo è necessario fare un passo indietro e concentrare l’attenzione sulla struttura stessa dell’ecosistema WordPress e su un particolare modulo chiamato Jetpack.
Pur essendo un progetto open source, WordPress ha una doppia natura. La più conosciuta è WordPress.org, che consente di creare e gestire in autonomia un sito Internet usando il popolare Content Management System. Esiste però anche una versione professionale, chiamata WordPress.com.
È gestito da Automattic, una società creata da uno dei co-fondatori di WordPress, che offre una versione “personalizzata” del CMS e vende piani di hosting per siti commerciali.
È stata proprio il gruppo di sviluppatori attivi all’interno di Automattic a creare Jetpack, un plugin inizialmente pensato per gestire gli analytics che poi si è evoluto in una sorta di “coltellino svizzero” per WordPress. Qualche anno fa, il plugin è stato messo a disposizione anche per gli utenti “free” di WordPress.org.
Una delle funzioni del plugin è quella che permette di collegare qualsiasi sito “free” a un account di WordPress.com per consentire all’amministratore di gestire tutti i siti più facilmente attraverso il sistema di controllo messo a disposizione dal servizio a pagamento. In pratica si tratta di un sistema centralizzato pensato per chi deve amministrare numerosi siti.
A quanto pare, però, rappresenta anche una vera manna per i pirati informatici, che hanno trovato in questo strumento un veicolo di attacco estremamente efficace.
Stando a quanto riportano i ricercatori, i cyber-criminali si stanno infatti impegnando attivamente per violare gli account WordPress.com e utilizzarli per diffondere un plugin malevolo su tutti i siti controllati da quell’account attraverso Jetpack.
Come specificano sulle pagine del sito di WordPress.org, gli attacchi non sono la conseguenza di una violazione dei sistemi di Automattic, ma vengono portati attraverso tecniche di brute forcing o tentativi di hackeraggio “manuali”, che utilizzano per esempio stock di password rubate e messe in vendita sul Dark Web.
Il plugin infetto, secondo i ricercatori di WordFence, è una variante di altri malware simili visti in precedenza e ha una particolarità: quando è attivo, non viene visualizzato nell’elenco dei plugin installati sul CMS. L’amministratore del sito, quindi, non ha chance di individuarlo con un semplice controllo “a vista”.
Il suo obiettivo è duplice. Per prima cosa crea delle backdoor nel sito che permettono ai pirati di avere un (ulteriore) accesso garantito come amministratori del sito.
Come secondo passaggio, inserisce all’interno di index.php una porzione di codice (opportunamente offuscata) che esegue un reindirizzamento dei visitatori su pagine Web controllate dai pirati informatici.
Il tutto avviene utilizzando un sistema che modifica gli indirizzi Internet dei siti di destinazione con una elevatissima frequenza (una volta al minuto) e impiegando un dominio come passaggio intermedio per rendere più difficile il tracciamento dei siti malevoli.
Le raccomandazioni dei ricercatori per bloccare il fenomeno sono rivolte agli utenti WordPress.com e, trattandosi in ogni caso di episodi di furto di account, sono sempre le solite: usare password complesse e attivare (se non lo si è già fatto) il sistema di autenticazione a due fattori.
Mar 07, 2024 0
Gen 26, 2024 0
Ott 12, 2023 0
Lug 19, 2023 0
Apr 18, 2024 0
Apr 18, 2024 0
Apr 17, 2024 0
Apr 17, 2024 0
Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Apr 11, 2024 0
Secondo l’ultimo report di Sophos, “It’s Oh...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 18, 2024 0
I ricercatori di Cisco Talos hanno individuato un...Apr 17, 2024 0
“In un contesto di crescente fragilità, gli sforzi di...Apr 17, 2024 0
I mantainer di PuTTY, il client open-source di SSH e...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...
One thought on “Attacchi massicci ai siti WordPress sfruttano il modulo Jetpack”