Ataque a gran escala intenta robar archivos de configuración de sitios de WordPress


WordPress

Imagen: ZDNet, WordPress

Los piratas informáticos lanzaron una campaña masiva contra los sitios world wide web de WordPress durante el pasado fin de semana, atacando vulnerabilidades antiguas en complementos sin parches para descargar archivos de configuración de sitios de WordPress.

El objetivo del ataque period usar viejos exploits para descargar o exportar archivos wp-config.php de sitios net sin parches, extraer credenciales de bases de datos y luego usar los nombres de usuario y contraseñas para hacerse cargo de las bases de datos.

Ram Gall, un ingeniero de regulate de calidad en Wordfence, un proveedor de servicios de firewall de aplicaciones website (WAF), dijo que el ataque del fin de semana pasado fue de proporciones masivas en comparación con lo que la compañía estaba viendo a diario.

Gall dijo que «esta campaña representó el 75% de todos los intentos de explotación de las vulnerabilidades de plugins y temas en todo el ecosistema de WordPress».

Según una tabla de ataque de WordFence publicado hoy parte de una alerta de amenaza, los ataques config-get triplicaron cualquier otra forma de ataque contra sitios de WordPress.

wp-config-ataques.png "src =" https://zdnet2.cbsistatic.com/hub/i/2020/06/03/359107a1-c44a-4267-8d25-728f9cff2464/wp-config-attacks.png

Imagen: Wordfence

Gall dijo que Wordfence bloqueó más de 130 millones de intentos de explotación solo en su purple, que se dirigió a más de 1.3 millones de sitios de WordPress, sin embargo, se cree que los ataques se han dirigido a muchos otros sitios, no cubiertos por la crimson de la compañía.

El ingeniero de Wordfence dijo que los ataques se llevaron a cabo desde una red de 20,000 direcciones IP diferentes. La mayoría de estas IP también se utilizaron previamente en otra campaña a gran escala que apuntaba a sitios de WordPress a principios de mayo.

Durante la primera campaña, el actor de la amenaza usó un lote de vulnerabilidades XSS (cross-web site scripting) e intentó insertar nuevos usuarios administradores y puertas traseras en los sitios objetivo.

La primera campaña también fue igualmente masiva en escala, ya que los ataques XSS del grupo superaron a todos los ataques XSS llevados a cabo por otros grupos combinados (ver el segundo gráfico a continuación).

Gall cree que las dos campañas, aunque se dirigieron a diferentes vulnerabilidades, probablemente hayan sido orquestadas por el mismo actor de amenazas.

wp-xss-attack.png "src =" https://zdnet4.cbsistatic.com/hub/i/2020/06/03/037d04e2-77ca-467a-aeb7-2744b20b90c0/wp-xss-attacks.png

Imagen: Wordfence



Enlace a la noticia primary