Un grupo de hackers intentó secuestrar 900,000 sitios de WordPress durante la última semana.


bug-in-wordpress-plugin-can-let-hackers-5e4bf475ab8a310001fbc023-1-feb-20-2020-14-13-43-poster.jpg

Un grupo de hackers ha intentado secuestrar casi un millón de sitios de WordPress en los últimos siete, según una alerta de seguridad emitida hoy por la firma de ciberseguridad Wordfence.

La compañía dice que desde el 28 de abril, este grupo de piratas informáticos en certain se ha involucrado en una campaña de piratería de proporciones masivas que causó un aumento de 30 veces en el volumen de tráfico de ataques que Wordfence tiene en seguimiento.

«Si bien nuestros registros muestran que este actor de amenaza puede haber enviado un volumen menor de ataques en el pasado, es solo en los últimos días que realmente han aumentado», dijo Ram Gall, ingeniero de command de calidad en Wordfence.

Gall dice que el grupo lanzó ataques desde más de 24,000 direcciones IP distintas e intentó ingresar a más de 900,000 sitios de WordPress.

Los ataques alcanzaron su punto máximo el domingo 3 de mayo, cuando el grupo lanzó más de 20 millones de intentos de explotación contra medio millón de dominios.

Gall dice que el grupo explotó principalmente vulnerabilidades de scripting entre sitios (XSS) para plantar código JavaScript malicioso en sitios world-wide-web, para redirigir el tráfico entrante a sitios maliciosos.

El código malicioso también escaneó a los visitantes entrantes en busca de administradores registrados y luego intentó automatizar la creación de cuentas de puerta trasera a través de los usuarios administradores desprevenidos.

Wordfence dice que los hackers usaron un amplio espectro de vulnerabilidades para sus ataques. Las diferentes técnicas observadas durante la última semana se detallan a continuación:

  1. Una vulnerabilidad XSS en el Quick2Map plugin, que se eliminó del repositorio de plugins de WordPress en agosto de 2019. Wordfence dice que los intentos de explotación de esta vulnerabilidad representaron más de la mitad de los ataques, a pesar de que el complemento se instaló en menos de 3.000 sitios de WordPress.
  2. Una vulnerabilidad XSS en Diseñador de site que fue parcheado en 2019. Wordfence dice que este complemento es usado por aproximadamente 1,000, y que esta vulnerabilidad también fue objetivo de otras campañas.
  3. Una vulnerabilidad de actualización de opciones en Cumplimiento de WP GDPR parcheado a fines de 2018 que permitiría a los atacantes cambiar la URL de inicio del sitio Adicionalmente a otras opciones. Aunque este complemento tiene más de 100,000 instalaciones, Wordfence estimó que no quedan más de 5,000 instalaciones vulnerables.
  4. Una vulnerabilidad de actualización de opciones en Donaciones totales lo que permitiría a los atacantes cambiar la URL de inicio del sitio. Este complemento se eliminó permanentemente del Envato Marketplace a principios de 2019, pero Wordfence dice que quedan menos de 1,000 instalaciones en overall.
  5. Una vulnerabilidad XSS en el tema del periódico que fue parcheada en 2016. Esta vulnerabilidad también ha sido dirigido en el pasado.

Sin embargo, Wordfence también advierte que el actor de la amenaza es lo suficientemente sofisticado como para desarrollar nuevos exploits y es probable que se convierta en otras vulnerabilidades en el futuro.

Se recomienda a los propietarios de sitios net de WordPress que actualicen los temas y complementos que hayan instalado en sus sitios y, opcionalmente, que instalen un complemento de firewall de aplicación de sitio website (WAF) para bloquear ataques, si pueden ser atacados.



Enlace a la noticia original