Proteja su web WordPress: una reciente campaña de publicidad maliciosa que promovía complementos vulnerables, ahora está tratando atacar sitios creando cuentas de administrador falsas.
En julio, cuando la empresa de firewall de web WordFence (también conocida como Defiant) detectó por primera vez la campaña, esta intentaba secuestrar sitios para impulsar anuncios emergentes, estafas de soporte técnico y aplicaciones maliciosas de Android.
Los complementos atacados incluían versiones vulnerables de Coming Soon Page & Maintenance Mode, que siguió a los ataques en abril y mayo a Yellow Pencil Visual CSS Style Editor and Blog Designer.
Seis semanas después, quizás alentados por la cantidad de sitios vulnerables que encontraron, los atacantes han mejorado sus ataques tomando el control completo de los sitios vulnerables a sus ataques.
También se ha agregado un nuevo complemento vulnerable, Bold Page Builder, a la lista de explotación, que, según los informes, los ciberdelincuentes comenzaron a explotar el 22 de agosto.
Pícaro
Cualquier persona que tenga un complemento vulnerable ahora corre el riesgo de que su sitio sea atacado gracias a una cuenta de usuario no autorizada con privilegios de administrador. Como antes, los atacantes intentan infectar sitios vulnerables con código JavaScript malicioso que se ejecuta cada vez que un usuario visita una página afectada.
El momento de debilidad ocurre si el usuario:
- Ha visitado previamente una página infectada
- Es administrador de WordPress en el sitio infectado.
- Actualmente está conectado al sitio
Si se cumplen estas condiciones, el código abusa silenciosamente de la capacidad del administrador registrado de crear nuevos usuarios, emitiendo una solicitud AJAX para crear una cuenta de administrador no autorizada llamada wpservices.
¿Qué podrían hacer los atacantes con el acceso que les da esta cuenta corrupta?
Casi todo lo que quieran.
Qué hacer
La conclusión es que los complementos de WordPress representan un gran dolor de cabeza para la seguridad de los propietarios de sitios y deben actualizarse rápidamente, tan pronto como esté disponible el nuevo software.
WordPress es una plataforma tan popular que todos los operadores de sitios WordPress deben asumir que sus webs son objeto de escaneos constantes, sondeos e intentos de ataques automatizados.
En los últimos meses, hemos informado sobre una serie de complementos que están siendo atacados por ciberdelincuentes, incluidos Easy WP SMTP, Abandoned Cart for WooCommerce y WP GDPR Compliance.
Es una tendencia que no muestra signos de disminución.
Las campañas como esta funcionan explotando vulnerabilidades conocidas en los complementos de WordPress y, como siempre, prevenir es mejor que curar. Por lo tanto, verifique regularmente para asegurarse de que sus complementos estén actualizados y asegúrese de que su software principal de WordPress esté configurado para que se actualicen automáticamente.
Es posible que quiera leer la guía de Sophos sobre cómo evitar ser uno de los “73%” de los sitios de WordPress vulnerables.
Si le preocupa haber sido víctima de esta campaña, WordFence ha publicado una lista de complementos vulnerables e indicadores de compromiso (IOC).
Como ya se señaló, las pistas para detectar el último ataque son los usuarios wpservices que usan el correo electrónico wpservices@yandex.com. Los atacantes pueden cambiarlo (y la lista de complementos a los que se dirigen) cuando lo deseen, por supuesto.
La recuperación de un sitio comprometido está más allá del alcance de este artículo, pero si necesita hacerlo, debería tener copias de seguridad completas, regulares y fuera del sitio. Por lo tanto, si aún no las tiene configuradas en su web, ¡hágalo ahora, antes de que las necesite!
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario