Google blocca 11.000 siti WordPress colpiti dal malware SoakSoak

La campagna malware SoakSoak ha causato già il blocco, da parte di Google, di 11.000 siti WordPress infetti. Tutta colpa di un plugin?

Negli ultimi tempi abbiamo parlato a più riprese di malware ed allerte sicurezza riguardanti WordPress ed altri CMS:  a riportare l’attenzione della stampa specializzata sul tema ha contribuito sicuramente la scoperta di CryptoPhp, una pericolosa backdoor in grado di colpire siti realizzati con i CMS più noti ed apprezzati (Drupal, Joomla, lo stesso WordPress ed altri).

Se, almeno per quanto riguarda CryptoPHP, l’allarme sembra rientrato, pare invece più complessa la vicenda riguardante “SoakSoak”, appellattivo con il quale la compagnia di web security Sucuri ha “ribattezzato” il malware – per via del redirect  al sito russo soaksoak.ru – svelato al Web alcuni giorni fa.

Malware SoakSoak redirectLa campagna malware SoakSoak ha probabilmente conquistato il suo spazio di notorietà per via dell’azione quasi immediata di Google che ha bloccato circa 11.000 siti WordPress ritenuti infetti. Tuttavia le prime stime  elaborate da Securi parlano di quasi 100.000 portali colpiti dal malware.

Malware SoakSoak, tutta colpa di un plugin?

Il vettore principale dell’infezione è stato individuato nel plugin  WordPress “Slider Revolution Responsive” sviluppato da ThemePunch ed afflitto da una vulnerabilità che ha consentito, di fatto, di lanciare la campagna malware.

E’ da precisare che la falla interessa solo le versioni precedenti alla 4.2 (rilasciata a Febbraio 2014) e che attualmente il plugin è giunto alla 4.6 (Settembre 2014); in ogni caso sembra proprio che diversi utilizzatori si siano dimenticati di aggiornare il plugin per diversi mesi mettendo a disposizione di SoakSoak un interessante bacino di portali vulnerabili.

Oltre alle dovute scuse, gli sviluppatori hanno consigliato di aggiornare il prima possibile il plugin, operazione che però, come ha sottolineato criticamente Securi, è tutt’altro che semplice da portare a termine: “il principale problema è che [Slider Revolution Responsive] è un plugin premium e quindi non aggiornabile facilmente da qualsiasi persona, [in pratica] un vero e proprio disastro per i proprietari dei siti. […] [Buona parte di essi] non è nemmeno a conoscenza di averlo installato nel proprio sito perchè incluso [nei file di installazione di alcuni temi WordPress]. […] Molti dei nostri clienti non avevano la minima idea che il plugin fosse presente nel loro sito” ha dichiarato Daniel Cid (founder e CTO presso Securi).