Vulnerabilidades en complementos WordPress permite a los hackers crear cuentas de administrador falsas

wordpress

Los hackers podrían utilizar varios complementos de WordPress para crear cuentas de administrador en sitios web sin parchear.

Los ataques a sitios de WordPess que utilizan cuentas de administrador falsas comenzaron el mes pasado y han estado en curso de acuerdo con una publicación de blog realizada por investigadores de Wordfence.

Se informó que las vulnerabilidades conocidas en los complementos de WordPress se explotaban inyectando JavaScript malicioso en las interfaces de los sitios de las víctimas, lo que hace que los visitantes de los sitios sean redirigidos a contenido potencialmente dañino, como droppers de malware y sitios de fraude.

Siempre que sea posible, las cargas útiles se ofuscan en un intento de evitar ser detectados por el software WAF e IDS.

Los investigadores encontraron de dónde provenían los ataques, identificando varias direcciones IP vinculadas a proveedores de alojamiento web; Una vez que se destacó el problema, la mayoría de los IP involucrados cesaron su actividad, dejando solo uno para continuar.

"La dirección IP en cuestión es 104.130.139.134, un servidor de Rackspace que actualmente aloja algunos sitios web presumiblemente comprometidos. Nos hemos comunicado con Rackspace para informarles de esta actividad, con la esperanza de que tomen medidas para evitar nuevos ataques desde su red.

Los ataques han estado apuntando a varias vulnerabilidades conocidas en los siguientes complementos:

  • Bold Page Builder
  • Diseñador de blog
  • Chat en vivo con Facebook Messenger
  • Publicaciones relacionadas
  • Editor de estilo visual CSS
  • Soporte de chat en vivo de WP
  • Form Lightbox
  • Compositor Híbrido

Todos los complementos anteriores de NicDark (nd-booking, nd-travel, nd-learning, et. Al.)

La investigación inicial de esta campaña identificó la inyección de scripts que desencadenaron redireccionamientos maliciosos o ventanas emergentes no deseadas en los navegadores de los visitantes del sitio de la víctima.

"Desde entonces, la campaña ha agregado un script adicional que intenta instalar una puerta trasera en el sitio objetivo mediante la explotación de una sesión de administrador", dijeron los investigadores.

Los investigadores dijeron que los ataques aún están en curso.

"Como siempre, actualizar los complementos y los temas en su sitio de WordPress es una excelente capa de defensa contra campañas como estas. Verifique en su sitio las actualizaciones necesarias con frecuencia para asegurarse de recibir los últimos parches a medida que se lanzan", dijeron los investigadores.

Pascal Geenens, evangelista de seguridad de Radware EMEA, le dijo a SC Media UK que los ataques se están moviendo del servidor al lado del cliente, en este caso intentando secuestrar el contexto de un usuario privilegiado.

"Magecart utiliza tácticas similares para rozar virtualmente los datos de las tarjetas de crédito, aunque no a través de los complementos de WordPress sino a través de la infección de bibliotecas de terceros. El objetivo principal en este caso parece ser comprometer los sitios web de WordPress para un mayor abuso, en el caso de Magecart es claramente buscan información sobre tarjetas de crédito, pero no se puede excluir el uso de tácticas similares para extraer información de sitios web; tales ataques son insidiosos y difíciles de detectar ", dijo.

Fabian Libeau, vicepresidente de EMEA en RiskIQ, le dijo a SC Media UK que para evitar que la publicidad malintencionada se dirija a las personas, todos los involucrados en la cadena de distribución de anuncios deben adoptar un enfoque 'uno para todos' y unirse para evitar su propagación.

"¿Los editores, las plataformas del lado de la demanda y las marcas deberían considerar lo que están haciendo para evitar anuncios digitales maliciosos? Si la respuesta no es mucha, entonces deberían buscar incorporar publicidad y tecnología publicitaria en su programa de seguridad cibernética. Esto identificará y eliminar hostigadores y anunciantes de publicidad maliciosa de una red o sitio web de un editor, minimizando la amenaza para los usuarios finales ", dijo.

Semrush sigue a tu competencia


Fecha actualizacion el 2019-09-02. Fecha publicacion el 2019-09-02. Categoria: wordpress Autor: Oscar olg Mapa del sitio Fuente: scmagazineuk Version movil