Genérico 4min de Leitura - 11 de marzo de 2020

Cibercriminales aprovechan las vulnerabilidades zero-day en plugins de WordPress

This post is also available in: Español

WordPress es la herramienta de creación de sitios web más utilizada en el mundo. Más del 35% de todos los sitios web son ejecutados con versiones de CMS (sistema de gestión de contenidos).

Y como tiene un gran número de instalaciones activas, WordPress es una superficie de ataque enorme.

A cada rato hay intentos de invadir sitios cuya plataforma es WordPress. En los últimos meses estos intentos se han producido a menor escala en comparación con 2019. Esta desaceleración es conocida por los expertos y coincide con la época del año.

Sin embargo, de ahora en adelante los ataques vuelven con toda su fuerza, causando preocupación en los profesionales y empresas que utilizan la plataforma.

Sigue leyendo para saber más sobre los ataques de los plugins de WordPress.

Nuevas explotaciones de vulnerabilidades después de la calma

En febrero, vimos el resurgimiento de los ataques contra los sitios de WordPress, señalando el fin de la calma que se produce en los meses de diciembre y enero.

Muchas empresas de seguridad digital especializadas en productos de seguridad de WordPress han informado de un número creciente de ataques a sitios que utilizan esta plataforma.

Los nuevos ataques se centraron en la explotación de errores en los plug-ins de WordPress y no en la explotación del propio CMS.

La mayoría de los ataques utilizaban bugs de plugin que habían sido arreglados recientemente, antes de que los administradores del sitio pudieran aplicar los parches de seguridad.

Algunos de los ataques fueron más sofisticados que otros. Los invasores descubrieron y explotaron el «zero-day» (día cero), un término utilizado para describir las vulnerabilidades que son desconocidas por los autores del plugin.

Se recomienda, urgentemente, a los administradores del sitio que actualicen todos los plugins de WordPress, ya que probablemente sean explotados en el año 2020 en adelante.

Algunos fallos recientes del plugin de WordPress

A continuación, se expone un resumen de todas las vulnerabilidades descubiertas en febrero que apuntaban a fallos en los plugins de WordPress:

Duplicador

Wordfence hizo público un informe en el que se afirma que desde febrero los ciberdelincuentes han estado explotando un error en Duplicator, un plugin que permite a los administradores exportar el contenido de sus sitios.

El error, fue corregido en la actualización 1.3.28, y permite a los atacantes exportar una copia del sitio, desde donde pueden extraer las credenciales de la base de datos y luego secuestrar el servidor MySQL subyacente de un sitio de WordPress.

El Duplicator es uno de los plugins más populares de WordPress, lo que empeora la situación, ya que había más de un millón de instalaciones en el momento en que comenzaron los ataques (10 de febrero).

Profile Builder

Un error crítico en la versión gratuita y profesional del plugin Profile Builder, le permite a los ciberdelincuentes registrar cuentas de administrador no autorizadas en los sitios web de WordPress.

El error fue corregido alrededor del 10 de febrero, pero los ataques comenzaron el 24 de febrero, el mismo día en que la prueba de código de concepto fue publicada en línea.

Según el informe de Wordfence, hay al menos dos grupos de hackers explotando ese bug.

Más de 65.000 sitios web (50.000 en la versión gratuita y 15.000 en la comercial) vulnerables a los ataques, a menos que actualicen el plugin a su última versión.

ThemGrill Importer

Los mismos grupos que están explotando el plugin Profile Builder tienen como objetivo al ThemeGrill Demo Importer, un plugin provisto de temas vendidos por ThemeGrill, un proveedor de temas comerciales de WordPress.

Existen más de 200.000 sitios web con el plugin instalado. El error permite a los atacantes limpiar los sitios con una versión vulnerable y hacerse cargo de la cuenta «admin».

Los ataques fueron confirmados por Wordfence, WebARX y algunos investigadores independientes en Twitter.

El código que soluciona el problema está disponible en la página del desarrollador del plugin, y se puede acceder a él a través del este link. Se recomienda actualizarlo a la versión v1.6.3 lo antes posible.

ThemeREX Addons

También se identificaron ataques dirigidos a ThemeREX Addons.

Según Wordfence, los ataques comenzaron el 18 de febrero cuando los atacantes encontraron una vulnerabilidad de zero-day en el plugin y comenzaron a explotarlo para crear cuentas de administrador no autorizadas en sitios vulnerables.

Incluso con los ataques en curso, no se dispuso un parche de seguridad, por lo que se aconseja a los administradores de tale sitios web, que retiren el plugin de sus págianas lo antes posible.

Campos de pago flexibles para WooCommerce

Los sitios que ejecutan pagos de WooCommerce también han sufrido ataques. Hay más de 20.000 sitios web de comercio electrónico en WordPress con tal plugin instalado.

Los hackers usaron una vulnerabilidad zero-day para inyectar cargas XSS que pueden ser activadas en el tablero del administrador conectado.

Las cargas útiles del XSS permitían que los hackers crearan cuentas de administrador en sitios vulnerables.

Tales ataquen están sucediendo desde el 26 de febrero.

Async Javascript, 10Web Map Builder de Google maps, Modern Events Calendar Lite

Se descubrieron 3 zero-days parecidos en los plugins de Async JavaScript, 10Web Map Builder de Google Maps y Modern Events Calendar Lite.

Los plugins se usan respectivamente en 100.000, 20.000 y 40.000 sitios web. Los tres zero-day eran errores XSS almacenados, así como el de WooCommerce.

Estos recibieron parches de seguridad, pero los ataques ocurrieron antes de que esos parches estuvieran disponibles. Eso significa que algunos de estos sitios probablemente fueron comprometidos.

Como se mencionó anteriormente, es muy importante que todos los administradores de sitios web actualicen estos plugins lo antes posible para garantizar su seguridad.

Es muy probable que los hackers continúen aprovechando no sólo las vulnerabilidades de estos plugins, sino muchas otras.

Síganos en nuestras redes sociales para no perder los contenidos: Instagram, Facebook, LinkedIn, Twitter.

 

Via: ZDNet.

This post is also available in: Español