Los sitios de WordPress están siendo atacados por una variedad previamente
desconocida de malware de Linux que aprovecha las fallas en más de dos docenas
de complementos y temas para comprometer los sistemas vulnerables.
«Si los sitios usan versiones desactualizadas de dichos complementos, que
carecen de soluciones cruciales, las páginas web seleccionadas pueden ser
inyectadas con JavaScripts maliciosos»,
dijo
el proveedor de seguridad ruso Doctor Web en un informe publicado la semana
pasada.
«Como resultado, cuando los usuarios hacen clic en cualquier área de una
página atacada, son redirigidos a otros sitios».
Los ataques implican armar una lista de vulnerabilidades de seguridad
conocidas en 19 complementos y temas diferentes que probablemente estén
instalados en un sitio de WordPress, usándolo para implantar un
script que puede apuntar a un sitio web específico para expandir aún
más la red.
También es capaz de inyectar código JavaScript recuperado de un servidor
remoto para redirigir a los visitantes a un sitio web arbitrario elegido por
el atacante.
Doctor Web dijo que identificó una segunda versión de la puerta trasera, que
utiliza un nuevo dominio de comando y control (C2), así como una lista
actualizada de fallas que abarca 11 complementos adicionales, lo que eleva el
total a 30.
Los complementos y temas específicos y las versiones afectadas se encuentran a
continuación:
- WP Live Chat Support
-
Yuzo Related Posts
(5.12.89) - Yellow Pencil Visual CSS Style Editor (< 7.2.0)
- Easy WP SMTP (1.3.9)
- WP GDPR Compliance (1.4.2)
- Newspaper (CVE-2016-10972, 6.4 – 6.7.1)
- Thim Core
-
Smart Google Code Inserter (discontinued
as of January 28, 2022, < 3.5) - Total Donations (<= 2.0.5)
- Post Custom Templates Lite (< 1.7)
- WP Quick Booking Manager
- Live Chat with Messenger Customer Chat by Zotabox (< 1.4.9)
- Blog Designer (< 1.8.12)
-
WordPress Ultimate FAQ (CVE-2019-17232
and
CVE-2019-17233, 1.24.2) - WP-Matomo Integration (WP-Piwik)
- ND Shortcodes (<= 5.8)
- WP Live Chat (8.0.27)
- Coming Soon Page and Maintenance Mode (<= 5.1.0)
- Hybrid
- Brizy
- FV Flowplayer Video Player
- WooCommerce
- Coming Soon Page & Maintenance Mode
- Onetone
- Simple Fields
- Delucks SEO
- Poll, Survey, Form & Quiz Maker by OpinionStage
- Social Metrics Tracker
- WPeMatico RSS Feed Fetcher, and
-
Rich ReviewsSe dice que ambas variantes incluyen un método no implementado
para forzar cuentas de administrador de WordPress, aunque no está claro si
es un remanente de una versión anterior o una funcionalidad que aún no ha
visto la luz.
«Si se implementa tal opción en las versiones más nuevas de la puerta
trasera, los ciberdelincuentes incluso podrán atacar con éxito algunos de
esos sitios web que usan versiones actuales de complementos con
vulnerabilidades parcheadas», dijo la compañía.
Se recomienda a los usuarios de WordPress que mantengan actualizados todos los
componentes de la plataforma, incluidos los complementos y temas de terceros.
También se recomienda utilizar nombres de usuario y contraseñas sólidos y
únicos para proteger sus cuentas.
La divulgación se produce semanas después de que Fortinet FortiGuard Labs
detallara otra red de bots llamada
GoTrim
que está diseñada para forzar sitios web alojados por fuerza bruta utilizando
el sistema de administración de contenido (CMS) de WordPress para tomar el
control de los sistemas específicos.
Hace dos meses, Sucuri notó que más de 15.000 sitios de WordPress habían sido
violados como parte de una
campaña maliciosa
para redirigir a los visitantes a portales de preguntas y respuestas falsos.
El número de contagios activos
se sitúa actualmente en 9.314.
La empresa de seguridad de sitios web propiedad de GoDaddy, en junio de 2022,
también compartió información sobre un sistema de dirección de tráfico (TDS)
conocido como
Parrot
que se ha observado apuntando a sitios de WordPress con JavaScript no
autorizado que arroja malware adicional en sistemas pirateados.
Fuente:
THN
Los comentarios están cerrados.