Ataques en sitios de WordPress Surge



Defiant dice que observó un aumento de 30 veces en los ataques en los últimos días.

Los equipos de seguridad que ya tienen sus manos ocupadas lidiando con las amenazas relacionadas con COVID-19 ahora tienen otro problema que enfrentar.

Los ataques en sitios de WordPress se han disparado en los últimos días a más de 30 veces el volumen usual. Esta semana, investigadores del proveedor de firewall de WordPress Defiant informaron haber observado intentos de ataque en más de 900,000 sitios web desde el 28 de abril.

Solo el 3 de mayo, Defiant contó más de 20 millones de ataques contra unos 500,000 sitios de WordPress. En el transcurso del mes pasado, Defiant dice que detectó más de 24,000 direcciones IP distintas que se utilizan para lanzar ataques en WordPress.

Según Defiant, un solo actor de amenaza parece estar detrás de la mayoría de los ataques, muchos de los cuales se han dirigido a vulnerabilidades conocidas de scripting entre sitios (XSS) en complementos de WordPress de terceros. El mismo adversario también apunta a otras vulnerabilidades antiguas en WordPress para atacar sitios, dijo el proveedor en un informe esta semana.

Los ataques que involucran las vulnerabilidades XSS se centran principalmente en plantar una puerta trasera en el sitio de la víctima, dice Ram Gall, un ingeniero de garantía de calidad de software program en Defiant.

La carga útil de la puerta trasera está diseñada para agregar un JavaScript malicioso a cada página del sitio. Esto redirigiría a cualquier visitante a sitios que alojen anuncios maliciosos.

Si una víctima inicia sesión en WordPress como administrador, el script intenta inyectar una puerta trasera maliciosa de PHP en el sitio, dijo Defiant. Luego, la puerta trasera descarga otra carga útil que finalmente le daría al atacante el manage sobre el dominio. El acceso permitiría al actor de la amenaza hacer cosas como incrustar un shell internet, crear una cuenta de administrador maliciosa o eliminar el contenido del sitio.

«Para los ataques que no son XSS que vimos, el atacante intentó redirigir a los visitantes a la misma campaña de publicidad maliciosa cambiando la URL de inicio del sitio», señala Gall.

El gran volumen y la variedad de los ataques, y el hecho de que involucran vulnerabilidades antiguas, sugieren que los ataques no están dirigidos. «Esta campaña no estaba dirigida a ninguna categoría específica de sitios», dice Gall. «En última instancia, con cualquier campaña como esta, la motivación es la monetización», dice.

Muchas de las vulnerabilidades a las que se ha dirigido el actor de la amenaza también han sido explotadas en campañas anteriores, dijo Defiant. Según el proveedor, más de la mitad de los ataques involucraron un complemento llamado Easy2Map que fue eliminado del repositorio de WordPress en agosto pasado debido a problemas de seguridad. Otras vulnerabilidades que han sido fuertemente atacadas en la campaña incluyen una vulnerabilidad XSS en un complemento llamado Blog Designer, otra en un complemento WP GDPR Compliance y una en un complemento ahora retirado llamado Full Donations.

«Aunque no es evidente por qué se atacaron estas vulnerabilidades, esta es una campaña a gran escala que fácilmente podría pivotar hacia otros objetivos», advierte Defiant en su alerta.

Riesgos de complementos de terceros
Los ataques a gran escala son otro recordatorio de los riesgos que corren los operadores de WordPress al usar complementos de terceros en sus sitios. Con los años, decenas de miles de complementos han estado disponibles para WordPress que permiten a los propietarios y operadores ampliar la funcionalidad del sitio. Pero vulnerabilidades en estos complementos – y el hecho de que muchos sitios a menudo usan complementos antiguos y desactualizados – los han convertido en objetivos muy populares para los atacantes.

Ameet Naik, evangelista de seguridad en PerimeterX, dice que los complementos vulnerables de WordPress representan un riesgo crítico de terceros. «Más del 70% de los scripts en un sitio website son de terceros, lo que representa un riesgo significativo para cualquier propietario de un sitio net», dice.

Además de hacer que la seguridad sea una parte integral del ciclo de desarrollo, los propietarios de sitios internet también pueden seguir algunos pasos simples para mitigar los riesgos de los complementos de terceros. Esto incluye escanear el sitio en busca de bibliotecas vulnerables conocidas, usar políticas de seguridad de contenido para restringir el acceso, usar firewalls de aplicaciones web para mitigar los ataques XSS y usar herramientas de visibilidad del tiempo de ejecución del lado del cliente para detectar la actividad de script malicioso, dice Naik.

Para las organizaciones, tales ataques demuestran la necesidad de un enfoque de seguridad en capas, dice Gall.

«Mantenga actualizados el núcleo, los complementos y los temas de WordPress», señala. «Desactive y elimine cualquier complemento o tema que se haya eliminado del repositorio de WordPress».

Contenido relacionado:

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más tips





Enlace a la noticia initial