Los atacantes que están explotando activamente una falla crítica de ejecución de código remoto que afecta a más de 600,000 de los sitios de WordPress que ejecutan versiones vulnerables del complemento File Manager también protegen los sitios que comprometen de los ataques de otros actores de amenazas
La vulnerabilidad crítica permite que atacantes no autenticados carguen archivos PHP maliciosos y ejecuten código arbitrario luego de una explotación exitosa. El equipo de desarrollo de File Manager abordó la falla con el lanzamiento de File Manager 6.9 .
A pesar de que la falla se corrigió pocas horas después de que el oficial de seguridad de guardia de Seravo, Ville Korhonen, informara a los desarrolladores, quien descubrió la falla de día cero y los ataques en curso que intentaban explotarla , los investigadores de la empresa de seguridad de WordPress Defiant detectaron más de 1.7 millones de sitios. siendo investigado por actores de amenazas entre el 1 y el 3 de septiembre.
En un informe actualizado publicado hoy, el analista de amenazas de Defiant, Ram Gall, dice que los actores de amenazas no han detenido su asedio, con un número total de sitios de WordPress atacados que ascienden a 2,6 millones.
El equipo de desarrollo de File Manager abordó la vulnerabilidad crítica explotada activamente con el lanzamiento de File Manager 6.9
Ataques en curso
Actualmente, varios actores de amenazas apuntan a esta vulnerabilidad en sitios que ejecutan versiones vulnerables del complemento Administrador de archivos según Defiant, pero dos de ellos han tenido más éxito en la implementación de malware en sitios vulnerables.
Uno de ellos es bajatax , un actor de amenazas marroquí conocido anteriormente por tener una inclinación por robar las credenciales de usuario de los sitios web de comercio electrónico de PrestaShop.
Una vez que logra comprometer un sitio de WordPress como parte de los ataques en curso, bajatax inyecta código malicioso que recolecta y extrae las credenciales de usuario a través de Telegram en cualquier intento de inicio de sesión, para luego ser vendido al mejor postor.
El otro inyecta una puerta trasera en una carpeta aleatoria y en la raíz web del sitio, ambos camuflados como archivos .ico, para reducir la posibilidad de que el administrador del sitio encuentre ambos y corte el acceso del actor de amenazas al sitio web.
Como explica Gall, el infectador de PHP utilizado por este segundo atacante es una variante de una infección que se utilizaba anteriormente para implementar criptomineros y ejecutar campañas de spam de SEO a través de sitios comprometidos.
Luchando por el control
Ambos han sido vistos por Defiant mientras intentaban bloquear los intentos de explotación de otros atacantes protegiendo con contraseña el archivo conector.minimal.php explotable en los sitios que han infectado.
"Nuestro equipo de limpieza de sitios ha limpiado varios sitios comprometidos por esta vulnerabilidad y, en muchos casos, existe malware de múltiples actores de amenazas", explica Gal.
"Los actores de amenazas antes mencionados han sido, con mucho, los más exitosos debido a sus esfuerzos por bloquear a otros atacantes y, en conjunto, utilizan varios miles de direcciones IP en sus ataques".
NinTechNet, que también informó sobre los intentos de explotación cuando comenzaron los ataques, también descubrió los intentos de los atacantes de impedir que otros comprometen el sitio ya infectado protegiendo con contraseña los archivos expuestos a escritura por la falla del Administrador de archivos.
En total, los investigadores de Defiant vieron ataques que intentaban explotar esta vulnerabilidad que se originaban en más de 370.000 direcciones IP separadas, sin casi ninguna superposición en la actividad de acceso de puerta trasera.
"La única excepción es la IP 51.83.216.204, que parece ser un tercero que verifica de manera oportunista la presencia de estas dos puertas traseras y luego intenta agregar una puerta trasera propia, sin mucho éxito", agregó Gal.
Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias
