Gli ultimi mesi del 2019 sono stati caratterizzati da incrementi sostanziali nel numero di attacchi informatici registrati ai danni dei CMS open source più famosi (WordPress, Drupal e Joomla) da parte di GoBrut, una botnet attiva dall’inizio di quest’anno.
Come evidenziato da un articolo sul blog di Yoroi, l’infrastruttura della botnet è stata recentemente aggiornata alla v. 3.06. La versione in questione risulta sviluppata per colpire anche i sistemi Linux e include al suo interno StealthWorker, un modulo di brute forcing in grado rubare dati sensibili, come credenziali di accesso al sito e dati delle carte di credito.
Le vulnerabilità nei sistemi di gestione dei contenuti (CMS) come WordPress, Joomla, Magento, Drupal, così come in vari plugin, sono comunemente sfruttati. La botnet GoBrut prende di mira proprio i CMS e sfrutta le loro vulnerabilità per la diffusione della minaccia. Nonostante l’obiettivo principale del gruppo criminale sia chiaramente di ordine finanziario, non è escluso che una diffusione di tale minaccia possa manifestarsi anche su target appartenenti ad organizzazioni pubbliche che solitamente utilizzano i CMS open source più diffusi per la gestione dei loro siti web.
A tal proposito il CERT-PA raccomanda agli amministratori di sistema di applicare il controllo degli accessi ai servizi web / database / SSH / FTP e utilizzare password robuste per evitare attacchi di forza bruta. Inoltre raccomanda di mantenere sempre aggiornati i siti web istituzionali effettuando gli opportuni aggiornamenti di sicurezza dei Content Management System (es. Joomla, Drupal, WordPress) e dei relativi plug-in associati, così come descritto nei Suggerimenti per la sicurezza dei siti web.
FONTE: CERT-PA, https://www.cert-pa.it/notizie/cms-vulnerabili-presi-di-mira-dalla-botnet-gobrut/