Los administradores del sitio que todavía usan el complemento Rich Reviews para WordPress son objetivos fáciles, ya que los piratas informáticos actualmente están explotando una vulnerabilidad sin parches para las campañas de publicidad maliciosa.
Aunque el complemento se eliminó por razones de seguridad del repositorio de WordPress hace más de seis meses, se estima que 16,000 sitios web todavía lo tienen en funcionamiento.
Carga familiar XSS
El complemento es vulnerable a las actualizaciones de opciones de complemento no autenticadas y los atacantes lo están aprovechando para entregar cargas útiles de scripting entre sitios (XSS) almacenadas. El JavaScript es activado tanto por los visitantes del sitio web como por los administradores autenticados.
Según los investigadores de Defiant, hay dos problemas que permiten el ataque. Uno es la falta de controles de acceso para cambiar las opciones del complemento, y el otro no es desinfectar los valores de las opciones.
La campaña de publicidad maliciosa ofrece una carga útil XSS casi idéntica como se ve en operaciones del mismo tipo rastreadas desde abril. La compañía publicó al menos tres informes este año.
El objetivo del actor de amenazas es redirigir a los usuarios a destinos peligrosos como estafas de soporte técnico, paquetes maliciosos de Android, sitios web fraudulentos o ubicaciones de malware. Otro objetivo parece ser mostrar ventanas emergentes que promocionen productos farmacéuticos dudosos.
Un informe del martes informa que hay tres direcciones IP asociadas con esta campaña: 94.229.170.38, 183.90.250.26, 69.27.116.3
Cuando está ofuscado, la carga útil ejecuta un script llamado 'place.js' que está alojado en el trabajo adsnet de dominio [.].
Defiant recomienda a los administradores de sitios web que todavía tienen Rich Reviews activos que encuentren una alternativa y eliminen el complemento de su sitio.
El desarrollador promete regresar
Parece que los autores del complemento son conscientes de la vulnerabilidad y están trabajando para solucionarlo. Un administrador afectado por la campaña se quejó la semana pasada de que tres de sus sitios web estaban infectados por un script malicioso asociado con esta campaña de publicidad maliciosa.
Nuanced Media, el desarrollador del complemento respondió diciendo que planean un regreso en las próximas dos semanas. Sin embargo, todos los sitios que tienen instalado Rich Reviews son objetivos potenciales a menos que eliminen el producto.
Sin embargo, incluso si los desarrolladores presentan una solución, no llegaría a los usuarios de Rich Reviews hasta que el complemento vuelva al repositorio de WordPress.
Fecha actualización el 2021-09-25. Fecha publicación el 2019-09-25. Categoría: wordpress Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer Version movil