Los piratas informáticos usan activamente complementos de WordPress vulnerables para atacar sitios web

Cada vez más hackers están utilizando las últimas vulnerabilidades de seguridad recientemente encontradas en el ataque de complementos de WordPress. Los ciberdelincuentes están apuntando a los propietarios de sitios web que no actualizan sus complementos y aún usan versiones antiguas de versiones vulnerables. Más grupos de hackers lo hacen. Por el momento, los expertos en seguridad conocen al menos dos grupos que atacan las versiones poco atractivas del creador de perfil de complementos, el demoporter y duplicadores. Estos son complementos bastante populares instalados en numerosos sitios web. Se estima que hay varios cientos de miles de sitios web que corren el riesgo de ser explotados porque sus propietarios no han podido actualizar estos tres complementos.
Todos los complementos mencionados anteriormente tienen algo común. Los investigadores de seguridad han distribuido recientemente informes sobre errores de seguridad críticos que se encuentran en estos complementos que podrían conducir al compromiso del sitio. Uno de los oponentes que los expertos en seguridad llaman a Tonyredball tienen acceso a sitios web de WP que tienen una versión vulnerable de: ThemeGrill Demoporter (bajo la versión 1.6.3) El defecto permite a cualquier usuario conectarse como administrador y eliminar toda la base de datos. El error de los perfiles de constructor (bajo la versión 3.1.1) permite a los usuarios no autorizados obtener privilegios de administrador.
Los expertos en seguridad del Grupo Tonyredball de Defiant enfatizan que el Grupo Tonyredball explota el error de registro del administrador en el creador de perfil de complementos utilizando solicitudes web que contienen el correo electrónico y el nombre de usuario de la nueva cuenta de administrador. Al mismo tiempo, los expertos creen que este grupo de piratas informáticos está involucrado en muchos otros ataques que explotan el error de eliminación de la base de datos que se encuentra en el complemento de Demporter. La razón de la explotación masiva de Demoporter de Themegrill es probablemente la facilidad de hacerlo. Solo se necesita atacantes para enviar una solicitud a un ataque de sitio vulnerable a través de complementos de WordPress. Y en el caso del creador de perfiles, los atacantes deberían hacer esfuerzos más serios, porque primero deben encontrar la forma vulnerable. El resultado final de la explotación de ambas vulnerabilidades es obtener privilegios administrativos y la capacidad de acceder al sitio web de la víctima. Una vez que se obtiene el acceso, con la ayuda de muchos temas y arados, los hackers cargan sus scripts maliciosos en el tablero de WordPress. Los actores de las amenazas utilizan varios tipos de scripts asociados con nombres de archivos como wp-block-pligin.php, blocksplugin.php, supersocial.php y wp-block-plin.php. Después de la explotación inicial, los atacantes entregan cargas adicionales destinadas a infectar más archivos y obtener una presencia más amplia en el sitio. Además, los investigadores han notado que el malware está comenzando a buscar otros sitios de WP que sean vulnerables al mismo método operativo.
En muchos casos, los atacantes inyectan el código malicioso en archivos legítimos de JavaScript. El propósito de este movimiento es cargar otro script de otro servidor que redirigiría a los visitantes a sitios web maliciosos controlados por ciberdelincuentes. Actualmente, esta redirección es fácil de observar y no sofisticada, pero los malvados pueden cambiar su guión para ser mucho más manguera. En un caso, los visitantes han sido redirigidos a un sitio web llamado TalkToFranky que pidió presionar en la notificación de ventanas del navegador, Para demostrar que son personas reales y no robots. Si los visitantes hicieron esto, permitieron que el sitio enviara varias notificaciones, incluido el spam.
Esto puede parecer una amenaza menor, pero los propietarios de dispositivos MAC que no son fácilmente pirateados a menudo son víctimas de tales trucos. Por ejemplo, los usuarios han sido redirigidos a sitios deshonestos como A.AKAMAIHD.NET. Los investigadores de seguridad han encontrado una discusión sobre uno de los foros en línea dedicados a esta situación, lo que sugiere que hay muchas víctimas. Lo que es interesante, todos los ataques del grupo Tonyredball provienen de una sola IP -45.129.96.17. Se encuentra en Estonia y se asigna al proveedor de alojamiento local llamado GMHost. Este proveedor es bien conocido por sus políticas débiles que atraen a muchos ciberdelincuentes para organizar allí. Este proveedor simplemente no reacciona a las quejas.

No está muy claro cuántos sitios de WordPress se pueden alcanzar debido a complementos vulnerables. Los investigadores estiman que Plugin Perfil Builder se puede instalar en unos 37,000 sitios y Demoporter Themegrill en aproximadamente 40,000 sitios. El grupo Solarsalvador1234 Otro grupo que parece ser más sofisticado se llama Solarsalvador1234. Los investigadores de The Defiant lo nombraron, así porque es el nombre de una dirección de correo electrónico que a menudo se usa en las solicitudes web que condujeron a la operación. Este actor amenazante también se refiere a los dos complementos mencionados anteriormente, pero además, el grupo Solarsalvador1234 tiene un complemento duplicado en la lista. Este complemento de WordPress ayuda a clonar y migrar un sitio web de un lugar a otro. ¡Tiene más de un millón de instalaciones activas! Las versiones duplicadas que son más pequeñas que 1.3.28 se informan que tienen un mal funcionamiento de seguridad que permite a los visitantes desatendidos descargar diferentes archivos de los sitios web dirigidos. Este error a menudo se usa para obtener el archivo de configuración del sitio de víctima-wp-config.php que almacena las credenciales del usuario para acceder a la base de datos. El objetivo principal es obtener posibilidades de entrada extendidas y a largo plazo en el sitio comprometido. Entonces, al explotar estas tres vulnerabilidades de seguridad, al final del día, los atacantes obtienen acceso administrativo completo a los sitios web de víctimas. Es importante recordar que esas vulnerabilidades ya están pública y corregidas.