Sfruttamento del Plugin WordPress: Attacchi Massicci Mirano al Bellissimo Banner di Consenso ai Cookie

La società di sicurezza WordPress, Defiant, ha osservato attacchi che mirano a uno sfruttamento non autorizzato di Cross-Site Scripting (XSS) in un plugin WordPress chiamato Bellissimo Banner di Consenso ai Cookie, che ha più di 40.000 installazioni attive.

Per cominciare, il Cross Site Scripting è un tipo di iniezione in cui l’attaccante inietta script dannosi in siti web fidati. Negli attacchi XSS, l’attore della minaccia invia un codice malevolo, come nello script lato browser, a un altro utente.

Bene, l’effetto può includere accesso non autorizzato a informazioni sensibili, sequestro di sessioni e infezioni da malware tramite reindirizzamenti a siti malevoli o il completo compromesso del sistema della vittima.

Secondo la società di sicurezza WordPress, Defiant afferma che lo sfruttamento in questione consente anche agli attaccanti non autorizzati di creare account admin non autorizzati su siti web che eseguono versioni del plugin non patchate (fino e inclusa la 2.10.1). La vulnerabilità spiegata in questa attività è stata corretta a gennaio con il rilascio di una versione più recente, ovvero la 2.10.2.

Leggi: CISA Avverte di una Vulnerabilità di Sicurezza nei Dispositivi Samsung, che Consente il Bypass di Android ASLR

Secondo l’analista delle minacce Ram Gall, la vulnerabilità è stata attivamente attaccata dal 5 febbraio 2023, ma questo è il più grande attacco contro di essa che abbiamo visto. “Abbiamo bloccato quasi 3 milioni di attacchi contro più di 1,5 milioni di siti web da quasi 14.000 indirizzi IP dal 23 maggio, e gli attacchi sono in corso.“

Nonostante la natura su larga scala di questa attività di attacco, secondo Gall, l’attore della minaccia utilizza uno sfruttamento mal configurato che probabilmente non distribuirebbe un payload anche quando si mira a un sito WordPress che esegue una versione vulnerabile del plugin.

Tuttavia, gli amministratori o i proprietari del sito web che utilizzano un plugin Bellissimo Banner di Consenso ai Cookie sono invitati ad aggiornare il plugin all’ultima versione poiché un attacco fallito potrebbe corrompere la configurazione del plugin memorizzata nell’opzione nsc_bar_bannersettings_json.

Inoltre, le versioni del plugin patchate sono state aggiornate anche per ripararsi in caso di attacchi ai siti web.

Sebbene l’ultima ondata di attacchi potrebbe non essere in grado di iniettare un payload malevolo, gli attori della minaccia che sono dietro questa attività potrebbero rettificare questi problemi e probabilmente infettare quelli che rimangono esposti.

Leggi: L’Attore della Minaccia Sfrutta Microsoft Azure per Ottenere Accesso a Macchine Virtuali