Los piratas informáticos utilizan activamente complementos de WordPress vulnerables para atacar sitios web

Cada vez más piratas informáticos utilizan las últimas vulnerabilidades de seguridad encontradas recientemente en el ataque de complementos de WordPress. Los ciberdelincuentes se dirigen a los propietarios de sitios web que no actualizan sus complementos y aún usan versiones antiguas de versiones vulnerables.

Varios grupos de hackers lo hacen. Por ahora, los expertos en seguridad conocen al menos dos grupos que están atacando versiones sin parches de los complementos Profile Builder, ThemeGrill Demo Importer y Duplicator.

Estos son complementos bastante populares instalados en numerosos sitios web. Se estima que hay varios cientos de miles de sitios web que corren el riesgo de ser explotados porque sus propietarios no actualizaron esos tres complementos.

Todos los complementos mencionados anteriormente comparten una cosa en común. Los investigadores de seguridad han compartido recientemente informes sobre errores de seguridad críticos encontrados en estos complementos que podrían comprometer el sitio web.

Uno de los adversarios que los expertos en seguridad llaman Tonyredball obtiene acceso a sitios web de WP que tienen una versión vulnerable de:

Importador de demostración de ThemeGrill (por debajo de la versión 1.6.3) La falla permite que cualquier usuario inicie sesión como un administrador y borre toda la base de datos.

Profile Builder (versión anterior a 3.1.1) El error permite que los usuarios no autenticados también obtengan privilegios de administrador.

grupo tonyredball
Los expertos en seguridad de Defiant señalan que el grupo Tonyredball explota el error de registro de administrador en el complemento Profile Builder mediante solicitudes web que contienen el correo electrónico y el nombre de usuario de la nueva cuenta de administrador.

Al mismo tiempo, los expertos creen que este grupo de piratas informáticos está involucrado en muchos otros ataques que explotan el error de eliminación de la base de datos que se encuentra en el complemento ThemeGrill Demo Importer.

La razón de la explotación masiva de ThemeGrill Demo Importer es probablemente la facilidad de hacerlo. Solo requiere que los atacantes envíen una solicitud de ataque a un sitio vulnerable a través de complementos de WordPress. Y en el caso de Profile Builder, los atacantes tendrían que esforzarse más, ya que primero deberían encontrar la forma vulnerable.

El resultado final de explotar ambas vulnerabilidades es obtener privilegios administrativos y la capacidad de acceder al sitio web de la víctima. Una vez que se obtiene el acceso, con la ayuda de los cargadores de temas y complementos, los piratas informáticos cargan sus scripts maliciosos en el tablero de WordPress.

Los actores de amenazas utilizan múltiples tipos de scripts asociados con nombres de archivo como wp-block-plugin.php, blockspluginn.php, supersociall.php y wp-block-plugin.php.

Después de la explotación inicial, los atacantes entregan cargas útiles adicionales destinadas a infectar más archivos y obtener una presencia más amplia en el sitio. Además, los investigadores observaron que los autores de malware comienzan a buscar otros sitios de WP que sean vulnerables al mismo método de explotación.

En muchos casos, los atacantes inyectan código malicioso en archivos JavaScript legítimos. El objetivo de este movimiento es cargar una secuencia de comandos más desde un servidor diferente que redirigiría a los visitantes a sitios web maliciosos controlados por los ciberdelincuentes.

En este momento, esta redirección es fácil de detectar y no es sofisticada, pero los malhechores pueden modificar su script para que sea mucho más astuto.

En un caso, los visitantes fueron redirigidos a un sitio web llamado Talktofranky que solicitó presionar Permitir en la ventana emergente de notificación del navegador, para demostrar que son personas reales y no bots. Si los visitantes lo hacían, permitían que el sitio enviara varias notificaciones, incluido el spam.

Esto puede parecer una amenaza menor, pero los propietarios de dispositivos Mac que no son fáciles de piratear a menudo son víctimas de tales trucos. Por ejemplo, los usuarios se vieron redirigidos a sitios falsos como A.akamaihd.net.

Los investigadores de seguridad encontraron una discusión en uno de los foros en línea dedicados a esta situación, lo que sugiere que hay bastantes víctimas.

Lo interesante es que todos los ataques del grupo Tonyredball se originan desde una sola IP -45.129.96.17. Se encuentra en Estonia y está asignado al proveedor de alojamiento local llamado GMHost. Este proveedor es bien conocido por sus malas políticas que atraen a muchos ciberdelincuentes para hospedarse allí. Este proveedor simplemente no reacciona a las quejas.

No está muy claro cuántos sitios web de WordPress pueden verse afectados por complementos vulnerables. Los investigadores estiman que el complemento Profile Builder se puede instalar en alrededor de 37k sitios y ThemeGrill Demo Importer en alrededor de 40k sitios.

grupo solarsalvador1234
Un grupo más que parece ser más sofisticado se llama Solarsalvador1234. Los investigadores de Defiant lo llamaron así porque es el nombre de una dirección de correo electrónico que se usa a menudo en solicitudes web que conducen a la explotación.

Este actor de amenazas también apunta a los dos complementos mencionados anteriormente, pero además de ellos, el grupo Solarsalvador1234 tiene el complemento Duplicator en su lista. Este complemento de WordPress ayuda a clonar y migrar un sitio web de un lugar a otro. ¡Cuenta con más de un millón de instalaciones activas!

Se informa que las versiones de Duplicator que son anteriores a la 1.3.28 poseen una falla de seguridad que permite a los visitantes no autenticados descargar diferentes archivos de sitios web específicos.

Este error se usa a menudo para obtener el archivo de configuración del sitio de la víctima: wp-config.php que almacena las credenciales de usuario para acceder a la base de datos. El objetivo principal es obtener posibilidades de entrada extendidas y a largo plazo en el sitio web comprometido.

Entonces, al explotar esas tres vulnerabilidades de seguridad, al final del día, los atacantes obtienen acceso administrativo completo a los sitios web de las víctimas. Es importante recordar que esas vulnerabilidades ya se han divulgado y reparado públicamente.

En el caso del hackeo, los propietarios de sitios web deberían culparse a sí mismos por no seguir las mejores prácticas de seguridad y no actualizar a tiempo los complementos de ataque de WordPress. Según estadísticas recientes, los investigadores de seguridad creen que alrededor de 800 000 sitios web aún ejecutan una versión sin parches de Duplicator.

Hay muchas razones para creer que los tres complementos vulnerables mencionados anteriormente no son los únicos que están siendo explotados.

Una vez más, los propietarios de sitios web deben recordar que una vez que se lanza cualquier actualización de seguridad, su prioridad debe ser instalarla, ya que cada vez más piratas informáticos atacan los sitios web de WordPress, encontrando y explotando rápidamente todas las fallas de seguridad nuevas y antiguas.