I ricercatori di Wordfence hanno scoperto un incremento degli attacchi contro siti WordPress. I cybercriminali cercano quelli che usano una versione vulnerabile del plugin Essential Addons for Elementor che consente di resettare le password e ottenere i diritti di amministratore. La patch è stata rilasciata l’11 maggio, ma non tutti i siti sono stati aggiornati.
Installare subito la versione 5.7.2
La vulnerabilità, scoperta l’8 maggio e indicata con CVE-2023-32243, consente l’escalation di privilegi senza autenticazione. il bug è presente nella funzione reset_password
che non effettua la validazione della chiave di reset. È sufficiente conoscere l’username per cambiare la password e prendere il controllo dell’account (anche quello dell’amministratore). Il problema è stato corretto l’11 maggio con la versione 5.7.2 di Essential Addons for Elementor.
Tre giorni dopo è stato pubblicato su GitHub il codice dell’exploit, subito sfruttato dai cybercriminali per attaccare siti WordPress non ancora aggiornati. Wordfence ha rilevato un picco di oltre 5 milioni di scansioni effettuate per cercare il file readme.txt
del plugin. I ricercatori hanno individuato alcuni indirizzi IP, dai quali provengono le richieste di accesso ai siti, che dovrebbero essere bloccati tramite firewall.
Considerato che il plugin è installato su oltre un milione di siti WordPress, gli attacchi potrebbero avere successo in molti casi (migliaia di siti sono ancora vulnerabili). Dopo aver preso il controllo del sito, i cybercriminali possono eseguire ogni tipo di attività, tra cui furto di dati sensibili, distribuzione di malware e cancellazione di file. Gli amministratori devono urgentemente installare l’ultima versione di Essential Addons for Elementor.