Los hackers están explotando activamente los días cero en varios complementos de WordPress


wordpress.jpg

WordPress es, con diferencia, la tecnología de creación de sitios net más utilizada en Net. Según las estadísticas más recientes, más del 35% de todos los sitios internet de World-wide-web funcionan con versiones del CMS (sistema de gestión de contenido) de WordPress.

Debido a su gran cantidad de instalaciones activas, WordPress es una superficie de ataque masivo. Los intentos de piratear los sitios de WordPress son como un zumbido constante en el fondo de todo el tráfico de Web, que ocurre en un momento dado.

En los últimos meses, este zumbido de intentos de pirateo de WordPress ha estado en niveles más bajos, en comparación con lo que vimos el año pasado.

Después de un ajetreado 2019, 2020 comenzó con una nota tranquila. La razón de este tiempo de inactividad podría ser las vacaciones de invierno, que, como hemos visto en años anteriores, a menudo provocan una desaceleración world wide en el malware y las actividades de piratería, como piratas informáticos, también se toman un descanso.

Los hackers regresan de las vacaciones con nuevas hazañas

Durante las últimas dos semanas, hemos visto un resurgimiento de los ataques contra los sitios de WordPress, lo que indica el last del período de relativa calma que hemos visto en diciembre y enero.

Varias empresas de ciberseguridad especializadas en productos de seguridad de WordPress, como Wordfence, WebARX y NinTechNet, han informado sobre un número cada vez mayor de ataques en sitios de WordPress.

Todos los nuevos ataques vistos el mes pasado se centraron en explotar errores en los complementos de WordPress, en lugar de explotar el propio WordPress.

Muchos de los ataques se dirigieron a errores de complementos recientemente parcheados, con los hackers esperando secuestrar sitios antes de que los administradores del sitio tuvieran la oportunidad de aplicar parches de seguridad.

Sin embargo, algunos de los ataques también fueron un poco más sofisticados. Algunos atacantes también descubrieron y comenzaron a explotar los días cero, un término utilizado para describir vulnerabilidades que los autores del complemento desconocen.

A continuación se muestra un resumen de todas las campañas de hackeo de WordPress que ocurrieron en febrero y que se enfocaron en nuevos defectos de plugins de WordPress.

Se recomienda a los administradores del sitio internet que actualicen todos los complementos de WordPress que se enumeran a continuación, ya que es muy possible que se exploten durante todo 2020, y posiblemente más allá.

Duplicador

Por un Informe de Wordfence, desde mediados de febrero, los hackers han explotado un error en Duplicador, un complemento que permite a los administradores del sitio exportar el contenido de sus sitios.

El error, corregido en 1.3.28, permite a los atacantes exportar una copia del sitio, desde donde pueden extraer las credenciales de la foundation de datos, y luego secuestrar el servidor MySQL subyacente de un sitio de WordPress.

Para empeorar las cosas, Duplicator es uno de los complementos más populares en el portal de WordPress, con más de un millón de instalaciones en el momento en que comenzaron los ataques, alrededor del 10 de febrero. Duplicator Pro, la versión comercial del complemento, instalada en 170,000 sitios adicionales, fue También impactado.

Complemento generador de perfiles

También hay otro mistake importante en las versiones gratuita y profesional de Creador de perfiles enchufar. El bicho puede permitir a los piratas informáticos registrar cuentas de administrador no autorizadas en sitios de WordPress.

El error fue parcheado el 10 de febrero, pero los ataques comenzaron el 24 de febrero, el mismo día en que se publicó en línea el código de prueba de concepto. Se cree que al menos dos grupos de hackers están explotando este error, de acuerdo con el reporte.

Más de 65,000 sitios (50,000 usando la versión gratuita y 15,000 usando la versión comercial) son vulnerables a los ataques a menos que actualicen el complemento a la última versión.

Importador de demostración de ThemeGrill

También se cree que los mismos dos grupos que están explotando el complemento anterior apuntan a un error en el Importador de demostración de ThemeGrill, un complemento que se envía con temas vendidos por ThemeGrill, un proveedor de temas comerciales de WordPress.

El complemento se instala en más de 200,000 sitios, y el error permite a los usuarios borrar los sitios que ejecutan una versión susceptible, y luego, si se cumplen algunas condiciones, hacerse cargo de la cuenta «admin».

Los ataques han sido confirmados por Wordfence, WebARXe investigadores independientes en Twitter. Código de prueba de concepto También está disponible en línea. Se recomienda actualizar a v1.6.3 lo antes posible.

Complementos ThemeREX

Los ataques también fueron detectados Complementos ThemeREX, un complemento de WordPress que se envía preinstalado con todos los temas comerciales de ThemeREX.

Según un informe de Wordfence, los ataques comenzaron el 18 de febrero, cuando los piratas informáticos encontraron una vulnerabilidad de día cero en el complemento y comenzaron a explotarlo para crear cuentas administrativas falsas en sitios vulnerables.

A pesar de los ataques en curso, nunca se puso a disposición un parche y se recomienda a los administradores del sitio que eliminen el complemento de sus sitios lo antes posible.

Campos de pago flexibles para WooCommerce

Los ataques también se dirigieron a sitios que ejecutan el Campos de pago flexibles para WooCommerce plugin, instalado en más de 20,000 sitios de comercio electrónico basados ​​en WordPress.

Los hackers usaron un (ahora parcheado) vulnerabilidad de día cero para inyectar cargas útiles XSS que se pueden activar en el tablero de un administrador conectado. Las cargas útiles de XSS permitieron a los piratas informáticos crear cuentas de administrador en sitios vulnerables.

Los ataques han estado en curso desde el 26 de febrero (1, 2)

JavaScript asíncrono, 10Internet Map Builder para Google Maps, Fashionable Functions Calendar Lite

También se descubrieron tres días cero similares en el JavaScript asíncrono, 10World wide web Map Builder para Google Maps, Calendario de eventos modernos Lite complementos Estos complementos se utilizan en 100,000, 20,000 y 40,000 sitios, respectivamente.

Los tres días cero fueron todos errores XSS almacenados como el descrito anteriormente. Los tres recibieron parches, pero los ataques comenzaron antes de que los parches estuvieran disponibles, lo que significa que algunos sitios probablemente se vieron comprometidos. Wordfence tiene más en esta campaña





Enlace a la noticia unique