Attacco a WordPress, modificati i contenuti di centinaia di migliaia di siti

Stanno crescendo a dismisura gli attacchi nei confronti di blog WordPress non aggiornati all’ultima versione (4.7.2 rilasciata lo scorso 26 gennaio).
Si calcola che centinaia di migliaia di installazioni WordPress, a livello mondiale, siano già state oggetto di una o più aggressioni che hanno portato a un defacement ossia alla modifica delle informazioni pubblicate sul sito da parte di persone non autorizzate.

Alcuni giorni fa gli sviluppatori di WordPress avevano allertato gli utenti invitandoli ad aggiornare immediatamente alla release 4.7.2, esente da qualunque problema noto (vedere questa pagina).

Tra le vulnerabilità risolte ve n’era una particolarmente grave che riguardava le API REST di WordPress. Si tratta di uno strumento che consente di gestire molto semplicemente i contenuti pubblicati sull’intero sito inviando e ricevendo i dati in formato JSON.
Come si vede a questo indirizzo le API REST di WordPress sono estremamente potenti e versatili: possono essere sfruttate per estrarre o modificare qualunque dato con semplici richieste GET e POST.

Immediatamente dopo la pubblicazione di WordPress 4.7.2, gruppi di criminali informatici hanno iniziato a studiare il codice sorgente e paragonare le differenze apportate al CMS rispetto alle precedenti versioni.
Così, sono bastati pochi giorni per mettere a punto un codice exploit funzionante che permettesse di modificare liberamente il contenuto delle pagine degli altrui siti WordPress.

Anche in Italia gli attacchi non si contano: per rendersene conto basta visitare questa pagina, copiare nella casella di ricerca di Google una delle firme lasciate “come ricordo” sui siti WordPress sottoposti a defacement (vedere la tabella al paragrafo Tracking REST-API Defacement Campaigns) e racchiudere i termini fra virgolette.
Ci si potrà fare un’idea di quali e quanti siti siano stati già aggrediti nel nostro Paese.

Per il momento i messaggi che vengono applicati dagli autori dei defacement sono generalmente a sfondo politico. Nulla impedisce, però, che le aggressioni possano presto tramutarsi in attività tese alla diffusione di link malevole e all’installazione di ransomware o malware in generale.

I tecnici di Sucuri sostengono che alcuni criminali stanno cominciando a combinare la vulnerabilità REST API con la presenza di alcuni plugin come Exec-PHP e Insert PHP. In questo caso (vedere questa pagina) il risultato è tragico perché l’aggressore ha addirittura la possibilità di eseguire codice PHP sul server che ospita l’installazione di WordPress.
Un messaggio d’allerta che dovrebbe spingere, ancora una volta, a valutare bene quali plugin si installano in WordPress e a farne un’attenta selezione escludendo sempre quelli potenzialmente più pericolosi.