Imagen: ZDNet, WordPress
Los hackers están explotando una vulnerabilidad de día cero en un complemento de WordPress creado por ThemeREX, una compañía que vende temas comerciales de WordPress.
Los ataques, detectados por Wordfence, una compañía que proporciona un firewall de aplicaciones net (WAF) para sitios de WordPress, comenzaron ayer, 18 de febrero.
Se dirigen Complementos ThemeREX, un complemento de WordPress que se envía preinstalado con todos los temas comerciales de ThemeREX. La función del complemento es ayudar a los compradores de productos ThemeREX a configurar sus nuevos sitios y controlar varias características del tema. Wordfence estima que el complemento está instalado en más de 44,000 sitios.
Según la firma de seguridad de WordPress, el complemento funciona configurando un punto last Rest-API de WordPress, pero no comprueba que los comandos enviados a esta API Relaxation provienen de usuarios autorizados (es decir, el propietario del sitio).
«Esto significa que cualquier visitante puede ejecutar el código remoto, incluso aquellos que no están autenticados en el sitio». dijo Chloe Chamberland, analista de amenazas en Wordfence.
«La capacidad más preocupante que vemos atacada activamente es la capacidad de crear un nuevo usuario administrativo, que se puede utilizar para la toma de regulate completa del sitio», agregó.
«Instamos a los usuarios a eliminar temporalmente el complemento Complementos ThemeREX si está ejecutando una versión outstanding a 1.6.50 hasta que se lance un parche», dijo Chamberland.
Un segundo ataque en un complemento de WordPress de 1 día
Pero los ataques a sitios que ejecutan el complemento Complementos ThemeREX no fueron los únicos que se detectaron ayer.
Hubo una segunda ola de ataques en los sitios de WordPress. Esta segunda ola apuntó a sitios que ejecutan ThemeGrill Demo Importer, un complemento que se envía con temas vendidos por ThemeGrill, otro creador de temas de WordPress.
Sin embargo, estos ataques fueron destructivos, más que parte de un delito cibernético o una operación de botnet. De acuerdo a WebARX e informes publicados en Twitter, los hackers usaron un error en el complemento ThemeGrill para borrar las bases de datos y restablecer los sitios de WordPress a sus estados predeterminados.
Se cree que más de 200,000 sitios de WordPress ejecutan este plugin ThemeGrill. Además, en algunas circunstancias excepcionales, los atacantes también podrían hacerse cargo de sitios vulnerables secuestrando su cuenta de administrador.
Estos son los llamados ataques de «1 día», un término utilizado para describir los ataques que tienen lugar inmediatamente después de que se proporciona un parche para una vulnerabilidad. Los usuarios de ThemeGrill pueden mitigar los ataques actualizando el complemento susceptible.
Por otro lado, los ataques en ThemeREX son los llamados ataques de «día cero», ya que explotan un error sin parche para el que no hay parche. Como Wordfence recomendó anteriormente, se recomienda deshabilitar este complemento hasta que haya un parche disponible.
