È stata scoperta una significativa violazione della sicurezza all’interno dell’ecosistema WordPress, che ha preso di mira migliaia di siti Web attraverso un sofisticato attacco alla catena di fornitura. È stato scoperto che dozzine di plug-in sviluppati da un provider noto come Essential Plugin contengono “backdoor” nascoste, ovvero punti di ingresso dannosi progettati per iniettare codice dannoso in qualsiasi sito Web che li utilizza.
L’anatomia dell’attacco
La violazione non è stata il tradizionale attacco informatico ad un singolo sito web, ma piuttosto l’acquisizione del software stesso. Secondo Austin Ginder, fondatore di Anchor Hosting, il compromesso è iniziato quando un nuovo proprietario aziendale non identificato ha acquisito Essential Plugin l’anno scorso.
Poco dopo l’acquisizione un codice dannoso è stato integrato di nascosto nel codice sorgente dei plug-in. Questa backdoor è rimasta dormiente per mesi, evitando di essere rilevata, fino all’inizio di questo mese, quando è stata attivata per iniziare a distribuire malware agli utenti attivi.
Scala e impatto
La portata di questo compromesso è sostanziale, evidenziando i rischi intrinseci dell’ecosistema WordPress:
– Installazioni interessate: i dati suggeriscono che i plug-in compromessi sono attivi su oltre 20.000 installazioni WordPress.
– Base clienti: Essential Plugin afferma di servire più di 15.000 clienti con oltre 400.000 installazioni totali.
– Stato attuale: i plug-in interessati sono stati rimossi dalla directory ufficiale di WordPress e ora sono elencati come “chiusi definitivamente”.
Perché è importante: il rischio della “catena di fornitura”.
Questo incidente è un esempio da manuale di attacco alla catena di fornitura. In un attacco di questo tipo, gli hacker non prendono di mira una singola vittima; invece, compromettono un fornitore di terze parti fidato su cui fanno affidamento molte vittime. Infettando un pezzo di software, l’aggressore ottiene una “chiave di scheletro” per migliaia di server diversi contemporaneamente.
Questo caso specifico solleva una grave preoccupazione sistemica: Trasparenza nella proprietà.
Quando uno sviluppatore di software o un creatore di plug-in viene acquistato da un’altra azienda, gli utenti di WordPress raramente vengono informati del cambiamento. Questa mancanza di trasparenza crea un punto cieco, consentendo agli autori malintenzionati di acquisire strumenti legittimi e di utilizzarli come armi all’insaputa degli utenti.
Cosa dovrebbero fare gli utenti
Sebbene i plug-in dannosi siano stati estratti dalla directory ufficiale, la minaccia rimane per coloro che li hanno già installati sui propri server.
- Controlla le tue installazioni: gli amministratori del sito web devono controllare immediatamente nei loro elenchi di plug-in attivi eventuali software precedentemente forniti da Essential Plugin.
- Rimozione immediata: se viene trovato un plug-in sospetto, deve essere eliminato immediatamente.
- Scansione di sicurezza: poiché la backdoor era attiva, i siti web dovrebbero essere sottoposti a un controllo di sicurezza approfondito per garantire che non sia stato lasciato malware secondario.
Nota: Si tratta del secondo caso di dirottamento di un plug-in WordPress scoperto in un periodo di due settimane, segnalando una tendenza crescente di aggressori che prendono di mira la proprietà del software per ottenere una compromissione di massa.
Conclusione: La violazione dell’Essential Plugin dimostra come l’acquisizione di software possa essere utilizzata come arma per aggirare le difese tradizionali. I proprietari dei siti web devono rimanere vigili sull’origine e sulla proprietà degli strumenti di terze parti che integrano nei loro siti.
