All’inizio del mese era stata scoperta una vulnerabilità in Advanced Custom Fields, un popolare plugin di WordPress utilizzato da oltre 2 milioni di siti web. I ricercatori di Akamai hanno rilevato numerosi tentativi di attacco a partire dal 6 maggio, ovvero 48 ore dopo il rilascio del fix.
Oltre 1,4 milioni di siti vulnerabili
La vulnerabilità, indicata con CVE-2023-30777, può essere sfruttata per eseguire attacchi XSS (cross-site scripting). Dopo aver individuato i siti con una versione vulnerabile del plugin, i cybercriminali possono iniettare codice infetto, rubare informazioni sensibili e ottenere i privilegi di amministratore.
Il problema di sicurezza è stato risolto il 4 maggio con la distribuzione della nuova versione 6.1.6 di Advanced Custom Fields. I ricercatori di Patchstack hanno successivamente pubblicato i dettagli della vulnerabilità. Sfruttando queste informazioni, i cybercriminali hanno creato un exploit e iniziato ad effettuare la scansione di Internet per trovare i siti non aggiornati.
In base alle statistiche ufficiali, la versione 6.1.6 è stata installata solo sul 31,5% dei siti, quindi il 68,5% di essi (circa 1,4 milioni) è ancora vulnerabile. Gli esperti di Akamai hanno individuato i primi attacchi circa 24 ore dopo il rilascio del PoC (Proof-of-Concept) da parte di Patchstack, mentre il picco è stato rilevato 48 ore dopo.
La patch è stata rilasciata il 4 maggio, mentre i dettagli della vulnerabilità sono stati pubblicati il 5 maggio. Questo intervallo di tempo è sufficiente per i cybercriminali, ma non per gli amministratori dei siti. Nonostante sia disponibile una versione aggiornata del plugin, l’installazione avviene con eccessiva lentezza. È quindi necessario implementare altre misure per rilevare e mitigare questo tipo di attacchi.