Los sitios de WordPress están en el punto de mira de una cepa desconocida de malware para Linux que aprovecha fallos en más de dos docenas de plugins y temas para comprometer sistemas vulnerables.
"Si los sitios utilizan versiones obsoletas de estos complementos, que carecen de correcciones cruciales, las páginas web atacadas se inyectan con JavaScripts maliciosos", dijo el proveedor de seguridad ruso Doctor Web en un informe publicado la semana pasada. "Como resultado, cuando los usuarios hacen clic en cualquier área de una página atacada, son redirigidos a otros sitios".
Los ataques consisten en utilizar como arma una lista de vulnerabilidades de seguridad conocidas en 19 plugins y temas diferentes que probablemente estén instalados en un sitio de WordPress, y utilizarla para desplegar un implante que puede dirigirse a un sitio web específico para ampliar aún más la red.
También es capaz de inyectar código JavaScript recuperado de un servidor remoto con el fin de redirigir a los visitantes del sitio a un sitio web arbitrario de la elección del atacante.
Doctor Web dijo que identificó una segunda versión de la puerta trasera, que utiliza un nuevo dominio de comando y control (C2), así como una lista actualizada de defectos que abarca 11 plugins adicionales, elevando el total a 30.
Los plugins y temas seleccionados son los siguientes
- WP Live Chat Soporte
- Yuzo Related Posts
- Lápiz Amarillo Visual CSS Style Editor
- Easy WP SMTP
- WP GDPR Compliance
- Periódico (CVE-2016-10972)
- Thim Core
- Smart Google Code Inserter (descatalogado a partir del 28 de enero de 2022)
- Total Donations
- Post Custom Templates Lite
- WP Quick Booking Manager
- Chat en Vivo con Messenger Customer Chat by Zotabox
- Diseñador de blogs
- WordPress Ultimate FAQ (CVE-2019-17232 y CVE-2019-17233)
- Integración WP-Matomo (WP-Piwik)
- ND Shortcodes
- Chat en Vivo WP
- Página Coming Soon y Modo Mantenimiento
- Híbrido
- Brizy
- FV Flowplayer Reproductor de Video
- WooCommerce
- Página Coming Soon y Modo Mantenimiento
- Onetone
- Simple Fields
- Delucks SEO
- Creador de encuestas, formularios y cuestionarios de OpinionStage
- Rastreador de métricas sociales
- WPeMatico RSS Feed Fetcher, y
- Rich Reviews
Se dice que ambas variantes incluyen un método no implementado para forzar las cuentas de administrador de WordPress, aunque no está claro si se trata de un remanente de una versión anterior o de una funcionalidad que aún no ha visto la luz.
"Si dicha opción se implementa en versiones más recientes de la puerta trasera, los ciberdelincuentes podrán incluso atacar con éxito algunos de esos sitios web que utilizan versiones actuales de plugins con vulnerabilidades parcheadas", afirma la compañía.
Se recomienda a los usuarios de WordPress que mantengan actualizados todos los componentes de la plataforma, incluidos los complementos y temas de terceros. También se aconseja utilizar nombres de usuario y contraseñas fuertes y únicos para proteger sus cuentas.
La revelación se produce semanas después de que Fortinet FortiGuard Labs detallara otra red de bots llamada GoTrim que está diseñada para forzar sitios web autoalojados que utilizan el sistema de gestión de contenidos (CMS) WordPress para hacerse con el control de los sistemas objetivo.
El mes pasado, Sucuri notó que más de 15,000 sitios de WordPress habían sido violados como parte de una campaña maliciosa para redirigir a los visitantes a portales de preguntas y respuestas falsos. El número de contagios activos se sitúa actualmente en 9.314.
La empresa de seguridad de sitios web propiedad de GoDaddy, en junio de 2022, también compartió información sobre un sistema de dirección de tráfico (TDS) conocido como Parrot que se ha observado apuntando a sitios de WordPress con JavaScript no autorizado que arroja malware adicional en sistemas pirateados.
Fuente: somoslibres
