Accedi al tuo profilo

Selezione la tua area di interesse

News Recenti

Falla in un plug-in di WordPress, strage di siti

Giu 09, 2016 Marco Schiaffino News, Trojan, Vulnerabilità 0

La vulnerabilità affligge WP Mobile Detector nelle versioni precedenti alla 3.6 ed è stata resa pubblica lo scorso 31 maggio. Qualcuno, però, la sta utilizzando per infettare i siti Web che non hanno aggiornato e sono ancora esposti all’attacco.

Si tratta di un problema conosciuto da una decina di giorni, ma come spiegano in questo post i ricercatori di Sucuri, la vulnerabilità è stata sfruttata in questi giorni per compromettere un gran numero di siti Internet.

Il problema risiede in un plug-in di WordPress, più precisamente quel WP Mobile Detector che permette di visualizzare i contenuti del sito in un formato ottimizzato per smartphone e tablet.

In pratica, è possibile sfruttare la falla per creare una backdoor e inviare un file che verrebbe caricato nella cache del plug-in, avviandone poi l’esecuzione in remoto.

La falla è stata resa pubblica il 31 maggio ed è subito stata utilizzata per infettare decine di siti.

Nei test eseguiti dai ricercatori l’operazione consente l’avvio di codice aggirando tutti i comuni controlli di sicurezza.

Stando a quanto riportato da Sucuri, il plugin è stato aggiornato per tappare la falla, ma non avrebbe risolto completamente il problema.

I ricercatori non spiegano esattamente il perché, limitandosi a dire che stanno collaborando con gli sviluppatori di WP Mobile Detector per sistemare le cose una volta per tutte.

La versione 3.7 del plug-in ha risolto parzialmente la vulnerabilità.

Il consiglio, quindi, è quello di disattivare il plug-in o disabilitare l’esecuzione di PHP. Questa seconda opzione, però, non impedirebbe a eventuali pirati di caricare file nella cache del plug-in, ma solo a impedire l’esecuzione.

La vulnerabilità, quindi, potrebbe essere sfruttata per usare il sito come veicolo di infezione nei confronti di altri utenti.

Condividi l'articolo