Un gran ataque activo tiene como objetivo apoderarse de más de 1,6 millones de sitios de WordPress - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Un gran ataque activo tiene como objetivo apoderarse de más de 1,6 millones de sitios de WordPress

Hola, ¿qué tal colega?. Yo soy Eduardo Arroyo y esta vez te voy a contar sobre Un gran ataque activo tiene como objetivo apoderarse de más de 1,6 millones de sitios de WordPress

Un gran ataque activo tiene como objetivo apoderarse de más de 1,6 millones de sitios de WordPress

Los atacantes están apuntando a las vulnerabilidades de seguridad en cuatro complementos más temas de Epsilon, para asignarse cuentas administrativas a sí mismos.

Se está llevando a cabo un ataque activo contra más de 1,6 millones de sitios de WordPress, y los investigadores han detectado decenas de millones de intentos para aprovechar cuatro complementos y temas diferentes de Epsilon Framework.

El objetivo, dijeron, es la adquisición total del sitio utilizando privilegios administrativos.

El alcance de la campaña es sustancial: la actividad proviene de más de 16.000 direcciones IP diferentes, según un análisis de Wordfence. Hubo 13,7 millones de ataques en las primeras 36 horas.

Los investigadores dijeron que los atacantes tienen como objetivo explotar las «vulnerabilidades de actualización de opciones arbitrarias no autenticadas» en los siguientes complementos: Kiwi Social Share (parcheado en 2018) y WordPress Automatic, Pinterest Automatic y PublishPress Capabilities (todas arregladas este año).

«En la mayoría de los casos, los atacantes están actualizando la opción ‘users_can_register’ a habilitada y configurando la opción ‘default_role’ en ‘administrador'», señalaron los investigadores de Wordfence en un Análisis del jueves. «Esto permite a los atacantes registrarse en cualquier sitio como administrador, detectando efectivamente el sitio».

La actividad comenzó en serio el 8 de diciembre, según Wordfence, probablemente debido a que los atacantes se interesaron en errores de actualización de opciones arbitrarias en general después del parche del complemento PublishPress Capabilities el 6 de diciembre.

Algunos de estos han sido explotados anteriormente. Ninja Technologies Network, por ejemplo, informó un aumento en la actividad específicamente contra el error Kiwi Social Share en 2018, a partir del 6 de diciembre, poco después del parche.

«El complemento de WordPress Kiwi Social Sharing corto plazo en el momento. «Permite a los atacantes modificar la tabla wp_options de WordPress para crear cuentas de administrador o, por ejemplo, redirigir el blog a otro sitio web».

Las versiones afectadas son las siguientes:

  • – Agrega funcionalidad para permitir que los visitantes del sitio compartan contenido en las redes sociales. 10,000+ instalaciones.
  • – Permite a los administradores personalizar los permisos para los roles de usuario de WordPress, desde administradores y editores hasta autores, contribuyentes, suscriptores y roles personalizados. Más de 100.000 instalaciones.
  • – Bloquea automáticamente imágenes de publicaciones en Pinterest.com. 7,400+ ventas.
  • – Importar contenido automáticamente a WordPress. 28.000+ ventas.

Los atacantes también apuntan a una vulnerabilidad de inyección de características que se encuentra en varios temas del Marco Epsilon, dijeron los investigadores, que permite la ejecución remota de código (RCE). Los temas de Epsilon permiten a los creadores de sitios elegir diferentes elementos de diseño flexible para crear el aspecto y la organización de un sitio web.

Los temas en cuestión (instalados colectivamente en más de 150.000 sitios) son:

activación Afluente fiel, devoto Antreas Fuera de quicio Brillantez Illdy MedZone Lite NatureMag Lite: sin parches, los usuarios deben desinstalar
NewsMag Periódico X Pixova Lite Regina Lite Formosa Trascender

Estos mismos problemas se han anclado anteriormente en ataques a gran escala. En noviembre de 2020, Wordfence observó una operación que apuntaba a esta lista con «ataques de sondeo», destinados a verificar si los sitios no estaban parcheados y eran vulnerables. que envuelve 7,5 millones de ataques contra más de 1,5 millones de sitios web, originados en más de 18.000 direcciones IP.

Esta vez, los atacantes están intentando actualizar las opciones arbitrarias nuevamente para tomar el control de un sitio mediante la creación de una cuenta de administrador, dijeron los investigadores.

«Debido a la gravedad de estas vulnerabilidades y la campaña masiva dirigida a ellas, es increíblemente importante asegurarse de que su sitio esté protegido contra riesgos», según Wordfence. «Recomendamos encarecidamente que se asegure de que todos los sitios que ejecutan cualquiera de estos complementos o temas se hayan actualizado a la versión parcheada … La simple actualización de los complementos y los temas garantizará que su sitio permanezca a salvo de cualquier compromiso contra las vulnerabilidades que apuntan a estas vulnerabilidades «.

Para determinar si un sitio web se ha visto comprometido, los administradores pueden revisar las cuentas de usuario en el sitio para determinar si alguna no está autorizada, aconsejan los investigadores.

«Si el sitio ejecuta una versión vulnerable de uno de los cuatro complementos o varios temas y hay una cuenta de usuario no autorizada, es probable que el sitio haya sido comprometido a través de uno de estos complementos», explicaron. «Elimine inmediatamente todas las cuentas de usuario detectadas».

Los administradores también deben visitar el sitio http: // examples[.]com / wp-admin / options-general.php y debería asegurarse de que la configuración de «Membresía» y la «Función predeterminada de nuevo usuario» estén configuradas correctamente, afirmaron.

Con el poder de WordPress más del 30 por ciento de los sitios web a nivel mundial (455 millones de sitios en total), la plataforma de terceros y los complementos seguirán siendo un objetivo atractivo para los ciberatacantes, especialmente porque los errores de los complementos no son infrecuentes. Por ejemplo, en octubre, los investigadores descubrieron una vulnerabilidad de alta gravedad en el complemento Hashthemes Demo Importer que permite a los suscriptores eliminar sitios del contenido.

.

Deberías compartir en en tu Twitter y Facebook para que tus colegas lo lean

??? ? ? ???

Comparte

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *