Non c’è pace per chi si occupa di gestire la sicurezza dei siti WordPress, e gli attacchi si fanno sempre più serrati e frequenti, mettendo a dura prova sia gli sviluppatori, costretti a continui aggiornamenti e revisioni, sia i webmaster e tutti coloro che gestiscono i siti, ma anche le aziende che hanno creato plugin dedicati proprio alla sicurezza di WordPress, come Wordfence. Proprio quest’ultima ha appena pubblicato un articolo dove si parla di una nuova piattaforma utilizzata dai pirati informatici per tentare di penetrare nei siti WordPress e infettarli con codice malevolo o altro. Ho chiesto l’autorizzazione al sito ufficiale per tradurre e mettere a disposizione di tutti gli utenti italiani di WordPress che non conoscono abbastanza l’inglese per consultare l’articolo originale, trovate di seguito il testo, il cui originale è intitolato “An Attack Platform Infecting WordPress Sites” e contiene anche un video dimostrativo dove sono appunto mostrati alcuni esempi di attacco informatico a WordPress.
Una piattaforma di attacco per infettare i siti WordPress
Il team di Wordfence si ritrova spesso a indagare sui siti dei clienti che sono stati infettati con l’obiettivo di aumentare l’impegno nella ricerca e sviluppo e offrire un servizio sempre migliore attraverso il sistema di scansione principale utilizzato. Dall’esame dei siti ‘bucati’ si ottengono dei dati sulle modalità che hanno permesso ai pirati informatici di accedere al sito e permette al team di ottenere informazioni aggiornate sui nuovi strumenti di attacco. Nello stesso tempo, queste indagini permettono a Wordfence di aggiungere nuovi codici di riconoscimento al sistema di scansione e consentire così di migliorare ulteriormente il riconoscimento e l’intercettazione di nuovi attacchi.
Nel corso di una recente indagine su un’infezione di ampia portata il team ha individuato un insieme di strumenti di attacco riconducibili allo stesso script ‘meta’. Si tratta di uno script di appena due righe di codice ma in grado di permettere al pirata informatico un attacco molto potente. Una volta installato, questo script mette a sua disposizione ciò che il team di Wordfence ha definito come una vera e propria ‘piattaforma di attacco intregrata’.
Lo script è stato ‘decodificato’ attraverso un’operazione di ‘reverse engineering’ e si è scoperto che scaricava il resto del codice necessario da pastebin.com, un sito in cui chiunque può pubblicare anonimamente del testo. L’autore dello script aveva infatti pubblicato su pastebin.com il codice sorgente, che veniva appunto scaricato ed eseguito dalle due righe di codice inziali. Ciò permetteva, appunto, di avviare un’infezione di larga portata semplicemente con due righe di codice.
Una volta installata, la piattaforma di attacco metteva a disposizione del pirata informatico ben 43 strumenti scaricabili sempre da pastebin con un solo click. Fra le funzionalità messe a disposizione da questi trumenti abbiamo trovato:
- Una shell di attacco completa che permette di gestire il filesystem, accedere al database attraverso un client SQL ben progettato, vedere le informazioni di sistema, creare un’infezione globale nel sistema, avviare attacchi DoS verso altri sistemi, individuare e infettare altri CMS, vedere e gestire gli account degli utenti sia sui CMS sia sul sistema operativo locale e molto altro.
- Uno strumento di atacco a forza bruta via FTP.
- Uno script di attacco a forza bruta per WordPress.
- Strumenti per la scansione dei file di configurazione o di informazioni sensibili.
- Strumenti per scaricare l’intero sito o parti di esso.
- La capacità di effettuare scansioni alla ricerca di altre shell di attacco.
- Strumenti destinati a specifici CMS e in grado di cambiarne la configurazione per ospitare del codice malevolo.
Nell’infezione su cui è stata svolta l’indagine la fonte pare fosse riconducibile a un gruppo di pirati informatici vietnamiti e a un membro del gruppo in particolare.
Per dare un’idea più precisa delle funzionalità offerte da questa piattaforma è stato realizzato un video dimostrativo dove una macchina virtuale di test viene infettata con il meta script composto da due righe di codice e quest’ultimo viene utilizzato per scaricare gli strumenti sopra descritti.
E’ importante sottolineare che la diostrazione è stata condotta in una macchina virtuale nuova e appena creata in cui sono stati inseriti alcuni strumenti di prevenzione di Wordfence atti a evitare ulteriori infezioni e attacchi. Fra questi ultimi, un sistema che forzava il traffico di rete in modo che potesse passare solo attraverso un proxy particolare per monitorare i dati in entrate e in uscita dalla macchina virtuale.
NOTA: il video è disponibile nella pagina dell’articolo originale.
Come si può notare dal video, i pirati informatici hanno in questo caso sviluppato sistemi di attacco altamente evoluti e strumenti in grado di compromettere e ‘bucare’ il sito. La priorità di chi possiede o gestisce un sito WordPress è, quindi, quello di prevenire l’accesso al sito da parte dei pirati informatici. Il Centro Didattico sulla Sicurezza di Wordfence è un buon punto di partenza per apprendere le basi necessarie a difendere il proprio sito. Il consiglio del team è anche quello di passare alla versione Premium di Wordfence se non è stato già fatto. In questo modo sarà possibile pianificare scansioni di controllo frequenti per la sicurezza del sito, aumentando così le possibilità di intercettare e bloccare in tempo eventuali attacchi.
Speriamo che il video dimostrativo e le informazioni fornite nell’articolo siano utili a un numero sempre maggiore di utenti di WordPress e vi invitiamo a condividere queste informazioni per il beneficio di tutti.
PER APPROFONDIRE: Articolo/tutorial sull’uso di Wordfence su WPAZ
FONTE: “An Attack Platform Infecting WordPress Sites” (con autorizzazione alla traduzione da parte degli autori, che ringrazio di cuore)