bug-in-wordpress-plugin-can-let-hackers-5e4bf475ab8a310001fbc023-1-feb-20-2020-14-13-43-poster.jpg

Un grupo de hackers ha intentado secuestrar casi un millón de sitios de WordPress en los últimos siete días, según una alerta de seguridad emitida hoy por la empresa de ciberseguridad Wordfence.

La compañía dice que desde el 28 de abril, este grupo de hackers en particular se ha involucrado en una campaña de hacking de proporciones masivas que causó un aumento de 30 veces en el volumen de tráfico de ataques que Wordfence ha estado rastreando.

«Si bien nuestros registros muestran que este actor de amenazas puede haber enviado un volumen menor de ataques en el pasado, es solo en los últimos días que realmente han aumentado», dijo Ram Gall, ingeniero de control de calidad de Wordfence.

Gall dice que el grupo lanzó ataques desde más de 24,000 direcciones IP distintas e intentó ingresar a más de 900,000 sitios de WordPress.

Los ataques alcanzaron su punto máximo el domingo 3 de mayo, cuando el grupo lanzó más de 20 millones de intentos de explotación contra medio millón de dominios.

Gall dice que el grupo explotó principalmente vulnerabilidades de cross-site scripting (XSS) para plantar código JavaScript malicioso en sitios web, para redirigir el tráfico entrante a sitios maliciosos.

El código malicioso también escaneó a los visitantes entrantes en busca de administradores registrados y luego intentó automatizar la creación de cuentas de puerta trasera a través de los usuarios administradores desprevenidos.

Wordfence dice que los hackers utilizaron un amplio espectro de vulnerabilidades para sus ataques. Las diferentes técnicas observadas durante la última semana se detallan a continuación:

  1. Una vulnerabilidad XSS en el complemento Easy2Map, que se eliminó del repositorio de complementos de WordPress en agosto de 2019. Wordfence dice que los intentos de explotación de esta vulnerabilidad representaron más de la mitad de los ataques, a pesar de que el complemento se instaló en menos de 3,000 sitios de WordPress.
  2. Una vulnerabilidad XSS en el Diseñador de blogs que se parcheó en 2019. Wordfence dice que este complemento es utilizado aproximadamente por 1,000, y que esta vulnerabilidad también fue el objetivo de otras campañas.
  3. Una vulnerabilidad de actualización de opciones en el cumplimiento de WP GDPR parcheada a finales de 2018 que permitiría a los atacantes cambiar la URL de inicio del sitio además de otras opciones. Aunque este complemento tiene más de 100,000 instalaciones, Wordfence estimó que no quedan más de 5,000 instalaciones vulnerables.
  4. Una vulnerabilidad de actualización de opciones en Donaciones Totales que permitiría a los atacantes cambiar la URL de inicio del sitio. Este complemento se eliminó de forma permanente del mercado de Envato a principios de 2019, pero Wordfence dice que quedan menos de 1,000 instalaciones en total.
  5. Una vulnerabilidad XSS en el tema del periódico que se parcheó en 2016. Esta vulnerabilidad también ha sido objeto de ataques en el pasado.

Sin embargo, Wordfence también advierte que el actor de la amenaza es lo suficientemente sofisticado como para desarrollar nuevos exploits y es probable que pivote hacia otras vulnerabilidades en el futuro.

Se aconseja a los propietarios de sitios web de WordPress que actualicen los temas y complementos que hayan instalado en sus sitios y, opcionalmente, instalen un complemento de firewall de aplicaciones web (WAF) para bloquear ataques, si es que pueden ser objetivo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.