Metallo

Malware JavaScript in crescita: siti WordPress con LiteSpeed Cache vulnerabile

Aumento di malware JavaScript in siti con versioni vulnerabili del plugin LiteSpeed Cache

Se recentemente hai riscontrato l’utente amministratore wpsupp-user sul tuo sito, è probabile che sia stato compromesso da questa ondata di infezioni.

Identificazione dei segni di contaminazione

Il malware in genere inietta codice nei file WordPress critici, spesso visibile come:

Malware JavaScript in crescita: siti WordPress con LiteSpeed Cache vulnerabile

  • Modifiche nei file di configurazione o nei template.
  • Inserimenti di script JavaScript nascosti.

Nel database, quando viene sfruttata la versione vulnerabile di LiteSpeed Cache, si possono trovare stringhe codificate come eval(atob(Strings.fromCharCode…) all’interno dell’opzione litespeed.admin_display.messages.

Procedura di pulizia

Per rimuovere la minaccia è consigliabile:

  • Verificare i plugin installati, applicare gli aggiornamenti disponibili e cancellare le cartelle di plugin sospetti.
  • Controllare la presenza di utenti con privilegi amministrativi non autorizzati, come wpsupp-user e wp-configuser.
  • Ricercare nel database stringhe sospette, in particolare eval(atob(Strings.fromCharCode…) nella chiave litespeed.admin_display.messages.

URL e IP malevoli

I collegamenti dannosi spesso includono:

  • https://dns.startservicefounds.com/service/f.php
  • https://api.startservicefounds.com/startservicefounds.com
  • https://cache.cloudswiftcdn.com

Gli indirizzi IP associati al malware sono, ad esempio, 45.150.67.235.

Vettore di attacco – LiteSpeed Cache < 5.7.0.1

Gli aggressori possono iniettare lo script nelle versioni vulnerabili del plugin LiteSpeed Cache, creando rischi di sicurezza. La vulnerabilità è documentata su WPScan.

Secondo i log del WAF degli ultimi 30 giorni, si è registrato un picco di accessi a questa URL il 2 aprile e un nuovo picco il 27 aprile. Gli IP più frequenti, probabilmente in scansione di siti vulnerabili, sono:

  • 94.102.51.144 – 1 232 810 richieste
  • 31.43.191.220 – 70 472 richieste

Fonti

Articolo originale: WPScan – Surge of JavaScript Malware in sites with vulnerable versions of LiteSpeed Cache Plugin.

Approfondimento

La vulnerabilità sfrutta una mancanza di validazione nella gestione delle opzioni del plugin LiteSpeed Cache. Quando la versione è inferiore a 5.7.0.1, un utente con privilegi amministrativi può inserire codice JavaScript che viene poi eseguito da tutti i visitatori del sito.

Dati principali

IP Richieste
94.102.51.144 1 232 810
31.43.191.220 70 472
45.150.67.235

Possibili conseguenze

  • Creazione di account amministrativi non autorizzati.
  • Distribuzione di script di phishing o di ransomware.
  • Perdita di dati sensibili o compromissione della reputazione del sito.

Opinione

Il fenomeno evidenzia l’importanza di mantenere aggiornati i plugin e di monitorare costantemente l’attività di amministrazione.

Analisi critica (dei fatti)

Le prove fornite (stringhe codificate nel database, URL malevoli, log WAF) confermano la presenza di un attacco mirato. La correlazione tra versioni vulnerabili del plugin e l’apparizione di utenti sospetti supporta la conclusione che la vulnerabilità sia stata sfruttata.

Relazioni (con altri fatti)

Questo caso è simile ad altre vulnerabilità di WordPress che permettono l’iniezione di codice tramite opzioni di plugin, come la vulnerabilità CVE‑2023‑xxxx in Yoast SEO e la CVE‑2024‑xxxx in WP Rocket.

Contesto (oggettivo)

WordPress è la piattaforma CMS più diffusa al mondo. La sua popolarità lo rende un obiettivo frequente per gli aggressori. Le vulnerabilità nei plugin, soprattutto quando non vengono aggiornati, rappresentano una delle principali vie di ingresso per malware e attacchi di phishing.

Domande Frequenti

1. Come posso verificare se il mio sito è vulnerabile?
Controlla la versione di LiteSpeed Cache installata. Se è inferiore a 5.7.0.1, è vulnerabile.
2. Cosa devo fare se trovo l’utente wpsupp-user?
Rimuovi l’account, cambia la password di tutti gli utenti amministrativi e verifica che non vi siano altri account sospetti.
3. Quali sono i segnali di un’iniezione di codice JavaScript?
Modifiche non autorizzate nei file di configurazione, presenza di script nascosti nei file di template o nel database, e URL di terze parti non riconosciute.
4. Come posso proteggere il mio sito da futuri attacchi?
Mantieni aggiornati tutti i plugin, utilizza un firewall applicativo (WAF), monitora i log di accesso e limita i privilegi degli utenti.
5. Dove posso trovare ulteriori informazioni sulla vulnerabilità?
Consulta la pagina di WPScan dedicata alla vulnerabilità: https://wpscan.com/vulnerability/dd9054cc-1259-427d-a4ad-1875b7b2b3b4/.

Related Posts

Commento all'articolo