Plugins de WordPress han sufrido ataques de puerta trasera | TIC Defense te informa
Recientemente, un actor malicioso y de amenazas ha modificado el código fuente de, al menos, cinco complementos que están alojados en el sitio web oficial de WordPress, wordpress.com, esto para oncluir algunos scripts PHP maliciosos. Estos scripts tienen la función de crear nuevas cuentas con privilegios administrativos en los sitios web, los cuales la vulnerabilidad ejecuta sin problemas.
Por esta razón, el equipo de inteligencia de amenazas de Wordfence, han descubierto el ataque desde hace poco tiempo. Sin embargo, las inyecciones de código malicioso parecen haber ocurrido desde hace mucho tiempo antes. Estamos hablando desde el mes de junio, aproximadamente.
Tan pronto como los expertos de la empresa Wordfence se dieron cuenta de la brecha de seguridad, notificaron a los desarrolladores de complementos o plugins, lo que resultó en el lanzamiento rápido de parches para la mayoría de los productos.
En este contexto, los cinco complementos que se han instalado en más de 35 mil sitios web son, en primer lugar, Social Warfare, con su actualización corregida a la versión 4.4.7.3, Blaze Widget, corregido a la versión 2.5.4. Wrapper Link Element, corregido en su versión 1.0.5. Contact Form 7 Multi-Step Addon, corregido a la versión 1.0.7 y Simply Show Hooks, cuyo parcheo no se ha podido llevar a cabo.
De esta manera, los expertos de Wordfence han señalado que no saben cómo el actor de amenazas pudo lograr el acceso al código fuente de estos plugins. No obstante, se está llevando a cabo una investigación seria al respecto.
Es posible que este ciberataque pueda afectar a un mayor número de plugins en la plataforma de WordPress, la evidencia que actualmente se tiene, muestra que el ataque, hasta ahora, solo se ha limitado al conjunto de cinco complementos que te mencionamos anteriormente.
En este sentido, el código malicioso en los complementos infectados intenta generar nuevas cuentas de administrador, además de inyectar spam de SEO en los sitios web comprometidos. Del mismo modos, sabemos que el malware inyectado intenta crear una nueva cuenta con máximos privilegios. Después, envía estos detalles al servidor controlado por los hackers maliciosos.
TIC Defense es un gran apoyo para combatir los ataques perpetrados por ciberdelincuentes en las empresas. Sabemos las consecuencias nefastas que una simple vulnerabilidad tiene sobre la reputación y las finanzas de las organizaciones. Por ello, diseñamos e implementamos una serie de herramientas, productos, servicios y soluciones que ayudan a mantener la infraestructura informática de tu empresa lejos de los actores maliciosos.
De la misma forma, los datos obtenidos se transmiten a una dirección IP, mientras que las cuentas de administrador generadas arbitrariamente, están denominadas como “Options” y “PluginAuth”, según los testimonios de los especialistas. Los propietarios de sitios web que puedan notar estas cuentas o tráfico a la dirección IP maliciosa, deben realizar un análisis y limpieza de malware completo.
Si tienes algunos de estos plugins instalados, tienes que considerar que la instalación está comprometida y debes pasar de inmediato al modo de respuesta ante incidentes. La empresa Wordfence también señala que algunos de los plugins afectados, han sido eliminados temporalmente de la plataforma de WordPress. Esto puede provocar que los usuarios reciban advertencias, incluso, si están usando una versión parcheada.
