Los piratas informáticos intentan apoderarse de decenas de miles de sitios de WordPress explotando vulnerabilidades críticas, en múltiples plugins que les permiten crear cuentas de administrador deshonestas y plantar puertas traseras.
Los ataques a los sitios de WordPress apuntan a un error de XSS almacenado de día cero sin autenticar que se encuentra en el plugin Flexible Checkout Fields for WooCommerce con 20.000 instalaciones activas por parte de los investigadores de NinTechNet.
Mientras que el equipo de desarrollo del plugin WP Desk sacó la versión 2.3.2 para arreglar el fallo de seguridad, activamente, apuntado dentro de una hora después de recibir el informe de divulgación de NinTechNet, algunos usuarios fueron hackeados hasta que estuvo disponible y listo para instalar.
Al analizar el alcance de estos ataques en curso, los investigadores de la empresa de seguridad de WordPress Defiant encontraron tres fallos adicionales de día cero que afectan a otros plugins de WordPress que ahora también se están explotando activamente:
– un suscriptor + XSS almacenado en Async JavaScript (100.000+ instalaciones)
– un XSS no autenticado+ almacenado en el 10Web Map Builder para Google Maps (20.000+ instalaciones)
– y múltiples suscriptores+ almacenados XSS en Modern Events Calendar Lite (40.000+ instalaciones)
“Esta campaña de ataque explota las vulnerabilidades de XSS en los plugins anteriores para inyectar Javascript maligno que puede crear administradores de WordPress deshonestos e instalar plugins malignos que incluyen puertas traseras”, dijo el analista de amenazas de Defiant, Mikey Veenstra. “Es importante que los administradores de sitios que usan estos plugins tomen medidas urgentes para mitigar estos ataques”.
“Nos tomamos muy en serio el proceso de divulgación de la seguridad, y no publicaríamos estos detalles si no fuera necesario alertar a la comunidad de WordPress sobre el riesgo que corren en medio de esta campaña”, añadió.
Con información de: Bleeping Computer.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian