I ricercatori di Dr.Web hanno segnalato la scoperta di un programma che funziona su sistemi Linux e che può essere utilizzato per andare alla ricerca di tante vulnerabilità presenti nei plugin WordPress. L’applicazione non effettua solo un’attività di testing ma può essere utilizzata per aggredire i siti WordPress rivelatisi vulnerabili.
Quando un sito WordPress utilizza una versione vulnerabile di un plugin, diventa possibile iniettare nelle pagine codice JavaScript malevolo e fare in modo che venga servito a tutti gli utenti che visitano il sito.
Dr.Web spiega che nel caso di specie è possibile sia attivare un reindirizzamento verso altri siti, sia eseguire codice malevolo nel caso in cui, per esempio, anche il client fosse sprovvisto dell’ultima versione del browser Web e utilizzasse una versione vulnerabile della stessa applicazione.
Secondo Dr.Web il software Linux che è stato scoperto potrebbe essere lo stesso strumento che gruppi di criminali informatici stanno adoperando da almeno 3 anni per sferrare attacchi a tanti siti WordPress, eseguire codice dannoso e monetizzare i reindirizzamenti dei client collegati.
Nell’analisi tecnica condivisa da Dr.Web è pubblicata la lista dei plugin che vengono presi di mira dal malware: ce ne sono alcuni davvero popolari e ampiamente utilizzati nelle installazioni di WordPress. Se nell’elenco appare il nome di un plugin che si usa sul proprio blog non significa che si è automaticamente esposti a un rischio di attacco: l’importante è verificare di aver installato l’ultima versione del plugin per WordPress e che l’autore ne prosegua lo sviluppo (è bene accertarsi che non si tratti di software ormai abbandonato e quindi non più aggiornato).
Il malware in questione, che Dr.Web ha battezzato Linux.BackDoor.WordPressExploit.1 e Linux.BackDoor.WordPressExploit.2 nelle sue due varianti, raccoglie una serie di statistiche sul suo operato: innanzitutto tiene traccia del numero complessivo di siti Web attaccati e di tutte le vulnerabilità sfruttate con successo.
Dr.Web consiglia ai gestori di siti Web di mantenere aggiornati tutti i componenti della piattaforma, inclusi componenti aggiuntivi e temi di terze parti, nonché di utilizzare login e password “forti”.