Malware wp-vcd su temi e plugins obsoleti di WordPress.

Vi parliamo adesso di un problema di WordPress e un malware. Il tutto nasce dal fatto che il famoso CMS ha raggiunto con il 2018 circa il 22% del mercato mondiale dei siti Web. E questo ha portato da ormai da anni delle conseguenze. Positive ma anche molte negative. Fra quelle negative sicuramente la peggiore è lo sviluppo di malware che sono specifici per il WP. Il pù noto di tutti si chiama  wp-vcd uno script che si nasconde all’interno di  file WordPress legittimi ma che serve a prendere il controllo del pannello di amministrazione.i.

Il malware è stato individuato per la prima volta online durante l’estate dal ricercatore di sicurezza italiano Manuel D’Orso.

La versione iniziale di questa minaccia hacker è stata caricata tramite una chiamata di inclusione per il file wp-vcd.php,  questo ha dato di fatto il nome al  malware e il codice dannoso iniettato nei file core di WordPress come functions.php e class.wp.php. Si è trattato di una campagna non aggressiva hacker ma che cmq ha interessato sporadicamente tutto il 2017.

wp-vcd ora ha come target i vecchi temi predefiniti di WordPress

Il mese scorso il team di sicurezza di Sucuri , produttore fra l’altro del famoso plugins di sicurezza informatica da cui prende il nome, ha individuato una nuova variante di questo malware che inietta il codice dannoso all’interno dei file legittimi di temi predefiniti forniti con WordPress CMS nel 2015 e 2016 e che sono ancora presenti su un numero elevato di siti, anche se disabilitati. Dichiarano infatti dalla casa

” codice è piuttosto semplice e non nasconde le sue intenzioni maligne codificando o offuscando le funzioni”,

Agli autori dell’attacco non importava se i temi erano attivi o meno, ma utilizzavano i loro file per nascondere il codice malevolo. Questo codice creerebbe un nuovo utente amministratore denominato 100010010. Nome indicativo, a seconda delle versioni del codice malevole. Lo scopo di questo account backdoor è quello di aprire una connessione di siti infetti in modo che gli hacker possano eseguire attacchi con script in date successive prestabilite.

Sempre secondo l’opinione di  Sucuri, i criminali informatici hanno sfruttato le vulnerabilità di alcuni plugin e temi obsoleti per caricare il malware wp-cvd su siti vulnerabili. Gli utenti sarebbero stati al sicuro se avessero usato un firewall per applicazioni web (WAF) di base che avrebbe individuato e impedito la modifica dei file core di WordPress.

Plugin popolari di WordPress affetti da problemi di sicurezza 

Ma wp-cvd non era l’unica notizia relativa a WordPress della scorsa settimana. Innanzitutto, il progetto WordPress ha rilasciato la nuova versione  5.1 focalizzata sull’aggiunta di funzionalità per lo più incentrate sugli sviluppatori.

Sul fronte della sicurezza, i ricercatori hanno scoperto vulnerabilità in due plug-in WordPress molto popolari: Yoast SEO (oltre 5 milioni di installazioni) e Formidable Forms (oltre 200.000 installazioni).

Ryan Dewhurst ha trovato inoltre un cross-site scripting (XSS) nel  plugin SEO Yoast che consentiva agli hacker di inserire codice su siti vulnerabili. Questo problema è stato corretto con Yoast SEO 5.8. Gli utenti devono effettuare la patch il più presto possibile in quanto questa è la vulnerabilità ideale che potrebbe essere utilizzata per il phishing degli utenti admin di WordPress per le credenziali di accesso.

Ultimo ma non meno importante, il ricercatore di sicurezza Jouko Pynnönen ha rilevato diverse vulnerabilità nel plugin Formidable Forms. Tra i difetti, vi è stata un’iniezione SQL, diversi errori XSS (cross-site scripting), recupero di dati non autenticato e altro ancora. I difetti hanno permesso agli aggressori di scaricare il database di un sito vulnerabile, quindi non dovrebbero essere ignorati. Tutte le vulnerabilità segnalate sono state corrette nelle versioni dei plugin 2.05.02 e 2.05.03.