Los hackers están creando cuentas de puerta trasera y archivos de cookies en sitios de WordPress que ejecutan OneTone


the-creative-exchange-zs3ofu40cqu-unsplash.jpg

Imagen a través de The Resourceful Exchange

Los hackers se dirigen activamente a los sitios de WordPress que ejecutan el tema OneTone para explotar una vulnerabilidad que les permite leer y escribir cookies del sitio y crear cuentas de administrador de puerta trasera.

La campaña ha estado en marcha desde principios de mes, y todavía está en marcha.

La vulnerabilidad es un mistake de secuencias de comandos entre sitios (XSS) en OneTone, un tema de WordPress well-liked pero ahora en desuso desarrollado por Magee WP, disponible en versiones gratuitas y de pago.

Vulnerabilidad dejada sin parchear

La vulnerabilidad XSS permite a un atacante inyectar código malicioso dentro de la configuración del tema. El error fue descubierto por Jerome Bruandet de NinTechNet en septiembre del año pasado e informó al autor del tema y al equipo de WordPress.

Magee WP, cuyo sitio world wide web no ha recibido ninguna actualización desde 2018, no lanzó una solución. Tras el fracaso de Magee para parchear, el equipo de WordPress eliminó la versión gratuita del tema del repositorio oficial de WordPress un mes después, en octubre de 2019.

Los atacantes comenzaron a explotar este error a principios de este mes, de acuerdo con el reporte de la firma de seguridad cibernética propiedad de GoDaddy, Sucuri.

Los expertos de Sucuri dicen que los hackers han estado usando el mistake XSS para insertar código malicioso dentro de la configuración del tema OneTone. Dado que el tema verifica estas configuraciones antes de cargar cualquier página, el código se activa en cada página de un sitio vulnerable.

Robar tráfico y crear cuentas de puerta trasera

Luke Leal de Sucuri dice que el código tiene dos funciones principales. Una es redirigir a algunos de los usuarios entrantes del sitio a un sistema de distribución de tráfico alojado en ischeck (.) xyz, mientras que una segunda función crea mecanismos de puerta trasera.

Sin embargo, el mecanismo de puerta trasera está inactivo para la mayoría de los usuarios que visitan el sitio. Solo se activa cuando los administradores del sitio visitan el sitio.

El código malicioso puede reconocer a los administradores del sitio que visitan el sitio de usuarios habituales porque busca la presencia de la barra de herramientas de administración de WordPress en la parte top-quality de la página, que aparece solo para los administradores registrados.

one-tone-admin-dashboard.png "height =" auto "width =" 1200 "src =" https://zdnet3.cbsistatic.com/hub/i/r/2020/04/27/f5b32eb8-44e1-4441 -899f-4ca6fc255a25 / resize / 1200xauto / 12e75f40c7f9497ed127b1a3fee26d7e / one-tone-admin-dashboard.png

Imagen: Sucuri

Una vez que detecta un usuario de nivel de administrador, el código malicioso insertado en XSS realiza una serie de operaciones automáticas silenciosas, aprovechando el acceso del usuario administrador, sin su conocimiento.

Leal dice que las puertas traseras se crean de dos maneras: agregando una cuenta de administrador en el panel de WordPress (un usuario llamado sistema) o creando un archivo de cookie de nivel de cuenta de administrador en el lado del servidor (el archivo de cookie denominado Tho3faeK)

El papel de las dos puertas traseras es otorgarle al atacante acceso al sitio en caso de que el código XSS se elimine de la configuración de OneTone, o la vulnerabilidad de XSS OneTone se corrija.

Lamentablemente, parece que una solución nunca estará disponible. A pesar de ser notificado el año pasado, la compañía no respondió a una solicitud de comentarios de Sucuri hace dos semanas, y no respondió a un correo electrónico very similar enviado por ZDNet la semana pasada.

Los ataques dirigidos a sitios OneTone todavía están en curso. Hace dos semanas, Sucuri informó que más de 20,000 sitios de WordPress ejecutaban un tema OneTone.

Hoy, el número se ha reducido a menos de 16,000, a medida que los propietarios del sitio comenzaron a migrar a otros temas a la luz de los hacks actualmente en curso.



Enlace a la noticia primary