I ricercatori di Wordfence hanno comunicato di aver scovato un incremento degli attacchi contro siti che sfruttano il CMS WordPress. I criminali informatici alle spalle della malefatta cercano i portali che sfruttano una versione vulnerabile del plugin Essential Addons for Elementor che consente di eseguire il reset delle password e ottenere i diritti di amministratore.
WordPress: attacchi contro i siti che usano Essential Addons for Elementor
Da tenere presente che la patch per la falla è stata rilasciata l’11 maggio socrso, ma non tutti i siti sono stati aggiornati, motivo per cui i cybercrminali continuano ad approfittare della cosa.
Andando in dettaglio, la falla è stata scovata l’8 maggio e siglata come CVE-2023-32243. Permette l’escalation di privilegi senza autenticazione ed è insita nella funzione reset_password che non effettua la validazione della chiave di reset. Per cui, basta conoscere l’username per cambiare la password e poter prendere il controllo dell’account, anche quello dell'amministratore.
In un secondo momento è stato pubblicato su GitHub il codice dell’exploit, immediatamente sfruttato dai cybercriminali per attaccare i siti WordPress non ancora aggiornati.
Wordfence ha individuato un picco di oltre 5 milioni di scansioni per cercare il file readme.txt del plugin. È stato altresì possibile risalire ad alcuni indirizzi IP da cui provengono le richieste di accesso ai siti, i quali possono essere bloccati usando il firewall per evitare di andare incontro a problemi.
Il plugin è installato su oltre un milione di siti WordPress, per cui i criminali informatici possono mettere a segno gli attacchi con un'elevata probabilità.