Rilevamento CVE-2023-4634: Vulnerabilità RCE non autenticata nel plugin WordPress Media Library Assistant

I ricercatori di sicurezza hanno lanciato un severo avvertimento riguardo a una vulnerabilità critica, designata come CVE-2023-4634, che sta colpendo un numero allarmante di oltre 70.000 siti WordPress a livello globale. Questa vulnerabilità ha origine da un difetto di sicurezza nel plugin WordPress Media Library Assistant, un plugin estremamente popolare e largamente utilizzato all’interno della comunità WordPress. Con questa vulnerabilità già sfruttata in natura e la disponibilità immediata di un exploit proof-of-concept, il rischio di un’intensificazione e diffusione ulteriore degli attacchi all’interno dell’ecosistema WordPress diventa ancora più preoccupante. 

Rilevare i Tentativi di Sfruttamento di CVE-2023-463

Rilevazione proattiva dello sfruttamento delle vulnerabilità rimane uno dei principali casi d’uso della sicurezza a causa dell’aumento costante del numero di CVE che impattano sul software popolare, il che pone gravi sfide alle organizzazioni che utilizzano questi prodotti e richiede l’attenzione dei difensori. Il nuovo bug di sicurezza di WordPress scoperto e tracciato come CVE-2023-4634 sta guadagnando l’attenzione con l’exploit PoC disponibile pubblicamente su GitHub. SOC Prime fornisce ai difensori le novità di sicurezza più rapide e abilita le organizzazioni progressiste con i contenuti di rilevazione più aggiornati per identificare tempestivamente qualsiasi traccia di attacco. 

Per aiutare i team di sicurezza a rilevare proattivamente i tentativi di sfruttamento di CVE-2023-4634, la piattaforma SOC Prime ha recentemente rilasciato una nuova regola Sigma in risposta alle crescenti minacce che colpiscono  gli utenti di WordPress. Segui il link qui sotto per raggiungere la regola Sigma dedicata scritta dal nostro acuto sviluppatore Threat Bounty Mustafa Gurkan KARAKAYA:

Tentativo di Sfruttamento della Vulnerabilità di Potenziale Esecuzione di Codice Remota Non Autenticata [CVE-2023-4634] su WordPress Media Library Assistant (tramite server web)

Questa regola Sigma rileva possibili sfruttamenti RCE non autenticati su WordPress Media Library Assistant inviando un payload malevolo. Il codice di rilevamento può essere istantaneamente convertito per 18 tecnologie SIEM, EDR, XDR e Data Lake ed è allineato con il MITRE ATT&CK®  framework che affronta la tattica di Accesso Iniziale e la tecnica di Sfruttamento Applicazione di Facciata Pubblica (T1190) dal suo arsenale. 

Gli ingegneri aspiranti alla rilevazione possono affinare le proprie competenze Sigma e ATT&CK unendosi al Programma Threat Bounty. Allena le tue capacità di codifica della rilevazione per avanzare in una carriera ingegneristica arricchendo l’esperienza collettiva del settore e guadagnando ricompense finanziarie per il tuo contributo. 

Per sfogliare l’intera collezione di regole Sigma per il rilevamento dei CVE e tuffarti nell’intelligence delle minacce rilevanti, clicca sul Esplora le Rilevazioni pulsante qui sotto.

Esplora le Rilevazioni

Analisi CVE-2023-463

Considerata la diffusione globale di WordPress come sistema di gestione dei contenuti (CMS), con milioni di siti web che ne dipendono in tutto il mondo, vulnerabilità come quelle nel plugin Media Library Assistant rappresentano un rischio significativo per le organizzazioni a livello mondiale. Gli aggressori potrebbero utilizzare siti WordPress compromessi come punto d’ingresso nella rete aziendale procedendo con altre attività malevole o usare il sito colpito come trampolino di lancio per la distribuzione di malware e attacchi phishing.

La vulnerabilità all’attenzione è un problema di esecuzione di codice remoto (RCE) non autenticata dovuto a controlli insufficienti sui percorsi dei file che si verificano durante l’elaborazione delle immagini tramite Imagick. Consente agli avversari di fornire file via FTP, portando all’inclusione di file locali e all’esecuzione di codice remoto. In queste condizioni, un aggressore potrebbe potenzialmente prendere il controllo di qualsiasi sito WordPress non aggiornato.

La vulnerabilità riguarda le versioni del plugin Media Library Assistant precedenti alla 3.10 e richiede un server con librerie Imagick installate per essere sfruttata. Per un attacco riuscito, Imagick dovrebbe affidarsi alle configurazioni predefinite. Gli amministratori del sito sono esortati a installare la patch di sicurezza dal dashboard di WordPress il prima possibile.

Il problema è stato scoperto dagli esperti di sicurezza di Patrowl, che hanno già rilasciato un rapporto che descrive il difetto di sicurezza insieme a PoC per fornire una comprensione dei livelli di rischio.

Con il crescente volume dei CVE attivamente sfruttati in natura, la rilevazione proattiva dei tentativi di sfruttamento è fondamentale per le organizzazioni che cercano di migliorare la loro resilienza informatica. SOC Prime equipaggia i team di sicurezza con Uncoder AI, un IDE unico per l’ingegneria della rilevazione che consente loro di scrivere codice di rilevazione impeccabile con meno sforzo e tradurlo automaticamente in 64 linguaggi di query — usando un prodotto all-in-one che garantisce la completa privacy.