La botnet che ha arruolato 20 mila siti Wordpress

Gli utenti di WordPress si trovano ad affrontare una pesante falla di sicurezza, scovata dai ricercatori di Wordfence.  Si tratta di una botnet che, al momento, pare aver ingaggiato almeno 20 mila siti, infettati sfruttando un accesso forzato ai pannelli di amministrazione dei backend.

Stando a quanto comunicato dagli esperti, gli hacker stanno violando i siti per infettarne tanti altri, tramite una funzionalità nota come XML-RPC. Si tratta dell’interfaccia che consente a un software di effettuare richieste a un altro sito tramite procedure remote (RPC) in linguaggio di markup (XML). I programmi di blogging legittimi usano questa funzione per formattare i contenuti prima della pubblicazione. Inserendosi in tali trasmissioni, gli hacker possono forzare l’ottenimento di nomi utente e password da un portale, ottenendone l’accesso.

Una volta dentro, installano il virus per la botnet che trasforma la maggior parte dei blog in zombie che rispondono alle istruzioni dei bot tramite server C2 (command and control). Gli aggressori inviano le loro istruzioni dai server che comunicano tramite server proxy, scelti da quella che è un vasto database russo. Tre dei server C2 sono ospitati da HostSailor, di cui il giornalista di cybersecurity Brian Krebs ha parlato già in passato come compagnia dalla dubbia provenienza che gestisce anche VPN.

In che modo i proprietari dei siti possono proteggersi da questo tipo di attacco? Semplicemente attuando le migliori e più condivise pratiche di sicurezza informatica. Ad esempio con l’utilizzo di un accesso a doppia autenticazione oppure con la presenza di un antivirus che aggiorna, costantemente, la lista delle minacce più o meno conosciute, per bloccarle e metterle in quarantena.

Un’altra misura efficace consiste nel limitare l’accesso dell’account di admin a specifici indirizzi IP o ai client con certificati digitali. Al momento, gli hacker sembrano essere in modalità di creazione di botnet, lavorando esclusivamente per far crescere l’esercito; cosa ne faranno poi? È difficile dirlo ma Wordfence suggerisce che tra gli attacchi più popolari, sviluppati tramite gli usi impropri di WordPress, ci sono l’invio di spam, l’hosting di pagine di phishing e l’avvio di reindirizzamenti malevoli.