Hace algunas semanas un equipo de auditorías de seguridad reportó una campaña maliciosa que, usando anuncios en línea, distribuía código para redirigir y para mostrar ventanas emergentes explotando un conjunto de vulnerabilidades en plugins del sistema de gestión de contenido WordPress. Desafortunadamente, esta actividad no se ha detenido, los operadores incluso muestran evolución en sus ataques.
En esencia, los atacantes siguen empleando el mismo modo de operación que al inicio de esta campaña, explotando vulnerabilidades conocidas en algunos de los plugins de WordPress más populares con JavaScript malicioso en los sitios web de las víctimas. Gracias a esto, los hackers pueden redirigir a los usuarios a sitios web maliciosos, cargados de malware o mostrando anuncios fraudulentos. Además, los hackers son capaces de eludir la detección de cualquier firewall de aplicaciones web.
No obstante, los expertos en auditorías de seguridad detectaron algunos detalles que sugieren que los operadores de esta campaña han agregado otros métodos de ataque contra los sitios de WordPress. Por ejemplo, inicialmente se identificaron algunos ataques procedentes de múltiples direcciones IP vinculadas a proveedores de hosting web. Sin embargo, poco después de que fueron revelados los primeros indicios sobre estos ataques, la actividad vinculada con todas estas direcciones IP se detuvo, a excepción de una. Esta dirección IP es 104.130.139.134, vinculada a un servidor de Rackspace que aloja algunos sitios potencialmente maliciosos. La compañía ya ha sido notificada sobre esta actividad, aunque no se han pronunciado al respecto.
Otro indicador de la evolución de este grupo de hackers es el incremento en la lista de vulnerabilidades explotadas. Al comienzo de esta campaña, los hackers explotaban sólo un conjunto de fallas y permanecieron así hasta ahora. Recientemente fue revelada una vulnerabilidad de comandos entre sitios (XSS) en el plugin Bold Page Builder, misma que comenzó a ser explotada por estos hackers hace algunos días.
Aunque los objetivos de los atacantes se actualizan con el paso de los días, los expertos en auditorías de seguridad han detectado un especial interés por atacar la siguiente lista de plugins:
- Bold Page Builder
- Blog Designer
- Live Chat with Facebook Messenger
- Yuzo Related Posts
- Visual CSS Style Editor
- WP Live Chat Support
Más plugins vulnerables podrían aparecer en los próximos días.
El cambio más relevante en esta campaña es la inclusión de un script con el que los actores de amenazas tratan de instalar un backdoor en los sitios web objetivo explotando una falla en las sesiones de administrador de WordPress. Explotando esta vulnerabilidad, los hackers pueden conseguir altos privilegios, lo que les permite instalar las cargas maliciosas sin prácticamente una sola restricción en el sitio web atacado. Otras actividades maliciosas también son posibles explotando esta falla.
Los expertos en auditorías de seguridad del Instituto Internacional de Seguridad Cibernética (IICS) aseguran que los hackers encargados de esta campaña siguen operando, por lo que se recomienda a los administradores de sitios en WordPress que usen alguno de los plugins vulnerables actualizar sus implementaciones, además de verificar la configuración de su firewall para aplicaciones web. Si usted administra un sitio en WordPress, por favor, ayude difundiendo esta información; la prevención es un elemento vital en la lucha contra las actividades maliciosas en WordPress y otros servicios similares.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad