WordPress, nota piattaforma integrata per la gestione di blog e siti online di divulgazione delle notizie, è vittima ora di una serie di attacchi che compromettono seriamente la sicurezza del sistema. Almeno 2 milioni di pagine sarebbero state prese di mira dai malintenzionati che per perpetrare i loro attacchi si sarebbero serviti di una vulnerabilità nota riscontrata nelle versioni non aggiornate di WordPress.
La cifra inerente il numero di attacchi cresce di giorno in giorno e si portano avanti nei confronti di tutti quei portali che utilizzano una versione della piattaforma antecedente WordPress 4.7.2 rilasciato dallo sviluppatore lo scorso 26 Gennaio 2017.
A lanciare il nuovo alert sulla situazione è stata la compagnia di sicurezza Wordfence che al 3 Febbraio 2017 evidenzia un picco di attacchi dopo i rilevamenti, avvenuti due giorni prima, sugli exploit. Si tratta di una vulnerabilità legata ad un bug nell’interfaccia di programmazione REST di WordPress. Attacchi che sono andati via via aumentando nel corso dei giorni successivi e che nella giornata del 4 Febbraio 2017 hanno conosciuto il blocco di 4.000 tentativi di intrusione portatisi poi a 13.000 il giorno successivo.
Il grafico presente a questo indirizzo fornisce un’idea precisa sull’andamento dell’attacco e quindi il numero di tentativi di hack prima, durante e dopo aver rilasciato il fix. Nella giornata di Giovedì, come si può osservare, il numero di attacchi si è portato a ben 1.5 milioni raggiungendo quota 1.89 milioni il giorno successivo.
Mark Maunder di Wordfence scrive:
“Come potete vedere la campagna che ha preso di mira la vulnerabilità REST-API sta continuando con una tendenza in crescita. Il numero di indirizzi IP che attaccano è aumentato e il numero di campagne pure”
Allo stesso modo, anche la società di IT Security Sucuri ha notato un certo fermento ed è proprio per questo che il CTO Danied Cid ha avvisato Venerdì che i malintenzionati si sarebbero serviti presto di exploit potenzialmente dannosi e capaci di avviare una shell remota. I siti maggiormente esposti sono in questo caso quelli che fanno ampio utilizzo dei plug-in come Insert PHP ed Exec-PHP, i quali permettono ai visitatori di operare una personalizzazione ai post inserendo codice PHP all’interno.
Il fondatore di Sucuri ha riferito che:
“Stiamo notando l’uso di questo tipo di attacchi su alcuni siti ed è probabile che questo sarà il modo in cui la vulnerabilità sarà sfruttata prossimamente, nei prossimi giorni, settimane e forse anche mesi”
In tal caso valgono le raccomandazioni essenziali per gli admin circa la necessità di procedere ad un immediato update del sistema e qualora non fosse possibile prevedere almeno la disinstallazione dei plug-in incriminati o di prodotti simili che rischiano in questo caso di compromettere i servizi e le pagine web.
