En una campaña recientemente detectada, un grupo de hackers ha estado restableciendo las contraseñas de administrador en sitios de WordPress a través de la explotación de una vulnerabilidad día cero en un Easy WP SMTP, un plugin con más de 500 mil instalaciones activas. La falla fue corregida este lunes.
Esta herramienta permite a los administradores de sitios web modificar la configuración SMTP para los emails salientes de las plataformas de sus usuarios.
Acorde al reporte, la versión 1.4.2 y anteriores del plugin contienen una función para crear registros de depuración de los emails enviados desde el sitio web del usuario. Debido a que la carpeta del plugin no contiene ningún archivo index.html, los servidores tienen habilitada la lista de directorios; a su vez, los actores de amenazas podrían encontrar estos registros con facilidad.
Los cibercriminales que lograron explotar esta falla en los sitios vulnerables han estado desplegando ataques automatizados para identificar las cuentas de administrador y forzar un restablecimiento de contraseña. Todo lo que los atacantes tienen que hacer es acceder al registro de depuración después de restablecer la contraseña, tomar el enlace de restablecimiento y tomar control del sitio web objetivo.
Los desarrolladores corrigieron esta falla con sólo mover el registro de depuración del plugin a la carpeta de registros de WordPress para garantizar su protección. Esta es la segunda vez que se detecta una vulnerabilidad día cero en este plugin; en marzo de 2019 un grupo de investigadores descubrió que actores de amenazas no identificados estaban explotando una falla en Easy WP SMTP para habilitar el registro de usuarios y crear cuentas de administrador como backdoor.
Por fortuna no todo son malas noticias. A diferencia del panorama en 2019, la versión actual del CMS cuenta con una función de actualización automática incorporada para temas y complementos. Añadida en agosto de 2020, con el lanzamiento de WordPress 5.5, si está habilitada, esta función permitirá que los plugins se ejecuten siempre en la última versión disponible sin necesidad de actualizarlos de forma manual.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
