Según los expertos, aproximadamente el 35% de todos los sitios en Internet funcionan con WordPress CMS. En este sentido, no es sorprendente que los ataques a los complementos vulnerables de WordPress se estén convirtiendo en una tendencia real entre los ciberdelincuentes, especialmente teniendo en cuenta que no hay escasez de complementos "con fugas".
Aunque 2019 fue un año muy ocupado para los administradores de sitios de WordPress, el inicio de 2020 fue tranquilo. Probablemente la razón de este tiempo de inactividad podría ser las vacaciones de invierno, ya que los atacantes también a veces se relajan. Sin embargo, en las últimas semanas, los ataques a WordPress se han reanudado y, como informan expertos de Wordfence, WebARX y NinTechNet, la breve pausa parece haber terminado. Como antes, los principales ataques de los atacantes tienen como objetivo explotar vulnerabilidades en varios complementos, pero no en el CMS en sí. A continuación, enumeramos qué complementos están bajo ataque activo.
De acuerdo con el informe Wordfence , a mediados de febrero atacar la vulnerabilidad en un plug-Duplicadora, que permite a los administradores del sitio para exportar el contenido de sus recursos y facilita el "movimiento" de un solo servidor a otro. El error se corrigió en la versión 1.3.28 y permitió a los atacantes exportar una copia del sitio desde donde los piratas informáticos podían extraer las credenciales de la base de datos y luego hackear MySQL. El problema se agrava por el hecho de que en el momento en que comenzaron los ataques, el complemento contaba con más de un millón de instalaciones, y Duplicator Pro, una versión comercial del complemento, se instaló otras 170,000 veces.
Además, según Wordfence , al menos dos grupos de piratas informáticos explotan el problema en versiones gratuitas y profesionales del complemento Profile Builder. El error permite a los atacantes crear nuevas cuentas de administrador en sitios vulnerables. Aunque el error se solucionó el 10 de febrero de 2020, los ataques comenzaron el 24 de febrero, el mismo día en que se publicó el exploit PoC en la red. Actualmente, alrededor de 65,000 sitios en los que está instalado el complemento son vulnerables a los ataques.
Los ataques a vulnerabilidades en los productos ThemeGrill Demo Importer y ThemeREX Addons continúan . El primer complemento se instala en más de 200,000 sitios, y la vulnerabilidad permite a los atacantes borrar los sitios de otras personas, y si la base de datos contiene un usuario llamado admin, el atacante puede obtener acceso a esta cuenta y a todos los derechos relevantes. El error en el segundo complemento también le permite crear nuevas cuentas de administrador en sitios vulnerables y, a pesar de los ataques en curso, todavía no hay parches para ello.
Los sitios con el complemento Campos de pago flexible para WooCommerce, instalados en más de 20,000 recursos, también fueron atacados por cibercriminales. En este caso, los piratas informáticos utilizaron la vulnerabilidad de día cero XSS ya fija , que permitía crear cuentas de administrador en sitios vulnerables. A pesar del lanzamiento del parche, los ataques continuaron a fines de febrero ( 1 , 2 ).
Otra campaña activa explota tres vulnerabilidades similares de día cero que se encuentran en los complementos Async JavaScript, 10Web Map Builder para Google Maps y Modern Events Calendar Lite. Estos complementos se instalan en 100,000, 20,000 y 40,000 sitios, respectivamente. Los tres errores de 0 días se almacenaron XSS y los tres ya se han solucionado, pero los ataques comenzaron incluso antes de que se lanzaran los parches, lo que significa que algunos sitios probablemente se vieron comprometidos.
Fuente: https://xakep.ru/
No olvides Compartir...
0 Comentarios