Falla in WordPress, ora è panico: 1,5 milioni di siti colpiti

Feb 10, 2017 Marco Schiaffino Attacchi, Hacking, In evidenza, News, RSS, Vulnerabilità 1

L’ondata di attacchi che sfruttano le vulnerabilità REST-API della piattaforma CMS cresce esponenzialmente. “Ci sono 20 gruppi di hacker in azione”.

Niente da fare: nonostante gli sforzi congiunti di sviluppatori, servizi di hosting e operatori, gli attacchi ai siti WordPress stanno crescendo esponenzialmente e rischiano di travolgere una buona fetta del Web.

Secondo la società di sicurezza WordFence, che sta seguendo da vicino l’evoluzione degli attacchi basati sulla vulnerabilità REST-API che consente attacchi di content injection, i siti Internet hackerati sarebbero già 1,5 milioni.

La falla di sicurezza affligge le versioni 4.7.0 e 4.7.1 della piattaforma CMS, ma non l’ultima versione 4.7.2, resa disponibile lo scorso 26 gennaio.

La strage di siti conferma l’inutilità dello stratagemma messo in campo dagli sviluppatori di WordPress, che hanno tenuto segreta la vulnerabilità per una settimana dal rilascio della patch proprio allo scopo di impedire che gli hacker avviassero lo sviluppo di exploit per sfruttarla.

La speranza era che i sette giorni di ritardo permettessero agli amministratori di eseguire l’aggiornamento (WordPress integra anche un sistema di update automatico) riducendo il numero di siti vulnerabili.

Niente da fare: a 48 ore dalla pubblicazione dell’avviso che illustrava la presenza del bug, sul Web hanno cominciato a comparire gli exploit per sfruttarla e gli attacchi sono partiti. La prima ondata ha colpito circa 100.000 siti e, dopo un primo momento di preoccupazione, l’allarme sembrava essere rientrato.

Come spiegano i ricercatori di WordFence, i primi attacchi sono stati arginati grazie anche all’intervento delle società di sicurezza, che hanno eseguito un “push” nei firewall di nuove regole che permettevano di bloccare l’attacco.

Ora, però, le cose stanno peggiorando. I pirati informatici hanno infatti cominciato a utilizzare una variante dell’attacco che è in grado di bypassare i filtri dei firewall e portare l’attacco di content injection sui siti vulnerabili.

Utilizzando gli exploit creati per sfruttare la falla, un singolo gruppo hacker è riuscito a colpire quasi 400.000 siti.

Ma cosa rischiano esattamente gli amministratori che non aggiornano? Molto. La vulnerabilità REST-API consente infatti di “iniettare” contenuti esterni nelle pagine Web, aprendo la strada a qualsiasi tipo di abuso.

Nella maggior parte dei casi gli hacker la stanno usando per defacciare le pagine, inserendo messaggi di varia natura: dagli slogan politici alle semplici rivendicazioni dell’hacking.

Su Internet, in pratica, si sta assistendo a una gara tra diversi gruppi hacker che cercano di compromettere il maggior numero possibile di siti prima che vengano aggiornati alla nuova versione.

***

I maggiori 20 gruppi hacker che stanno sfruttando la falla REST-API hanno compromesso, in totale, circa 1,5 milioni di siti.

E i bersagli non mancano: secondo le statistiche più recenti (gennaio 2017) i siti gestiti con WordPress sarebbero quasi 16 milioni (per l’esattezza 15.886.000) e rappresenterebbero il 27% di quelli raggiungibili sul Web.

Ad aumentare la confusione, in questo momento, è anche la reazione scomposta di alcuni operatori. Google, per esempio, ha inviato una serie di alert via email agli utenti della sua Search Console per avvisare del pericolo i webmaster che utilizzano una versione non aggiornata di WordPress.

Stando a quanto riportato da molti utenti, però, dalle parti di Google hanno peccato di eccesso di zelo, inviando la comunicazione anche a chi ha già eseguito l’update alla versione 4.7.2. E il panico aumenta…

Condividi l'articolo