Attacco massivo verso siti WordPress basati su Framework Epsilon

Published by Lello on

In questi giorni si è verificato un attacco su larga scala verso siti internet che utilizzano WordPress; in particolare sono stati oggetti di attacco quelli che utilizzano il framework Epsilon Framework.

L’attacco è stato scovato da ricercatori di Wordfence notando un’impennata di attacchi provenienti da circa 18.000 indirizzi IP e diretti verso circa 1,6 milioni di installazioni WordPress.

L’attacco è stato di tipo “Function inject“; sono state sfruttate le vulnerabilità del framework per generare, sui siti compromessi, utenti con credenziali di amministratore. Nel dettaglio, tale vulnerabilità ha permesso agli hacker di attivare l’opzione users_can_register e successivamente di impostare l’opzione default_role a administrator. In questo modo hanno avuto la possibilità di registrare utenti con diritti di amministratore. Considerando inoltre che “spesso” i siti non vengono aggiornati (plugins e themes), l’attacco ha avuto facile penetrazione e impatto maggiore.

Questi sono i plugin oggetto di vulnerabilità:

  • PublishPress Capabilities <= 2.3
  • Kiwi Social Plugin <= 2.0.10
  • Pinterest Automatic <= 4.14.3
  • WordPress Automatic <= 3.53.2

Questi sono invece i temi vulnerabili basati su Epsilon Frameword:

  • Shapely <=1.2.7
  • NewsMag <=2.4.1
  • Activello <=1.4.0
  • Illdy <=2.1.4
  • Allegiant <=1.2.2
  • Giornale X <=1.3.1
  • Pixova Lite <=2.0.5
  • Brilliance <=1.2.7
  • MedZone Lite <=1.2.4
  • Regina Lite <=2.0.4
  • Transcend <=1.1.8
  • Affluent <1.1.0
  • Bonkers <=1.0.4
  • Antreas <=1.0.2
  • NatureMag Lite <=1.0.5

Per tutti i temi (tranne che per NatureMag Lite) sono state rilasciate della patch.

Il consiglio (banale) che viene indicato è quello di revisionare gli account del sito basato sul Framework Epsilon; inoltre rivedere la possibilità di permettere a chiunque di registrarsi.