WordPress: un attacco a Elementor Pro mette a rischio 1 milione di siti

attacco a Elementor Pro

Il team di Intelligence di una nota azienda di sicurezza informatica ha ricevuto segnalazioni di sfruttamento attivo delle vulnerabilità in due plugin correlati.

Si tratta dell’editor “Elementor Pro” ed il suo plugin “Ultimate Addons for Elementor”.

E’ necessario prendere provvedimenti per proteggere i siti web con questi plugin attivati.

Si tratta di un attacco in corso e la vulnerabilità più critica non è stata ancora corretta.

Quali plugin sono interessati da questo attacco

Ci sono due plugin interessati da questa campagna di attacco. Il primo è “Elementor Pro” realizzato da Elementor.

Questo plugin ha una vulnerabilità zero day che è sfruttabile se gli utenti hanno una registrazione aperta.

Il secondo plugin interessato è “Ultimate Addons for Elementor”, realizzato da Brainstorm Force.

Una vulnerabilità in questo plug-in consente di sfruttare la vulnerabilità di Elementor Pro, anche se il sito non ha la registrazione utente abilitata.

Si stima che “Elementor Pro” sia installato su oltre 1 milione di siti e che “Ultimate Addons” abbia una base di installazione di circa 110.000 utenti.

La vulnerabilità in “Elementor Pro”, classificata come critica per gravità, consente agli utenti registrati di caricare file arbitrari che portano all’esecuzione di codice in modalità remota.

Un utente malintenzionato in grado di eseguire in remoto codice sul sito può installare una backdoor o webshell per mantenere l’accesso, ottenere l’accesso amministrativo completo a WordPress o persino eliminare del tutto il sito colpito.

Sembrerebbe, da alcune fonti, che il team di Elementor stia lavorando ad una patch risolutiva, anche se non c’è ancora una conferma ufficiale fino a questo momento.

Elementor Pro

E’ necessario chiarire che questa vulnerabilità non interessa il plug-in “Elementor” gratuito (con oltre 4 milioni di installazioni) disponibile dal repository di plug-in WordPress.

Infatti il plug-in “Elementor Pro”, di cui stiamo parlando, ha un download separato disponibile dal sito Web Elementor.com, con oltre 1 milione di installazioni attive.

Ultimate Addons for Elementor

Il plug-in “Ultimate Addons for Elementor” ha recentemente corretto una vulnerabilità nella versione 1.24.2 che consente agli aggressori di creare utenti con abbonamento, anche se la registrazione è disabilitata su un sito WordPress.

Due vulnerabilità utilizzate per attaccare i siti

Gli aggressori sono in grado di indirizzare direttamente la vulnerabilità zero day in “Elementor Pro” su siti con registrazione utente aperta.

Nei casi in cui un sito non ha la registrazione utente abilitata, gli utenti malintenzionati utilizzano la vulnerabilità di Ultimate Addons for Elementor su siti senza patch per registrarsi.

Quindi utilizzano gli account appena registrati per sfruttare la vulnerabilità zero day di “Elementor Pro” e ottenere l’esecuzione di codice in modalità remota.

Cosa si deve fare

Innanzitutto aggiornare immediatamente i componenti aggiuntivi “Ultimate per Elementor”.

Assicurarsi quindi che la versione installata di “Ultimate Addons for Elementor” sia la 1.24.2 o successiva.

Eseguire il downgrade a “Elementor” gratuitamente fino al rilascio di una patch per “Elementor Pro”.

Si può fare semplicemente disattivando “Elementor Pro” e rimuovendolo dal tuo sito. Ciò rimuoverà la vulnerabilità del caricamento di file.

Una volta rilasciata una patch, puoi reinstallare la versione con patch di “Elementor Pro” sul sito e recuperare le funzionalità perse.

Così si perderanno temporaneamente alcuni elementi di design dopo il downgrade, ma nei test questi elementi sono tornati dopo la reinstallazione di “Elementor Pro”.

Tuttavia, un backup prima del downgrade è sempre prudente.

Se hai bisogno di conoscere l’elenco delle tue installazioni di “Elementor Pro”, puoi accedere al tuo account su Elementor.com e andare su “Acquisti”, quindi “Visualizza siti Web” per un elenco completo in cui “Elementor Pro” è installato con quella licenza.

Controlla eventuali utenti sconosciuti a registrati sul tuo sito. Ciò può indicare che il tuo sito è stato compromesso come parte di questa campagna attiva. In tal caso, rimuovere tali account.

Elimina eventuali file o cartelle sconosciuti trovati nella directory / wp-content / uploads / elementor / custom-icons /. I file che si trovano qui dopo la creazione di un account non autorizzato sono una chiara indicazione di compromesso.

Condividi su:
Condividi su facebook
Facebook
Condividi su twitter
Twitter
Condividi su linkedin
LinkedIn
Condividi su google
Google+
Condividi su email
Email
Condividi su print
Print
WordPress: un attacco a Elementor Pro mette a rischio 1 milione di siti
Torna su