Los reportes sobre incidentes de ciberseguridad afectando a individuos y compañías no dejan de aparecer. En esta ocasión, un equipo de especialistas en servicios de ciberseguridad ha revelado la presencia de nuevas vulnerabilidades en algunos plugins para el popular sistema de gestión de contenido (CMS) WordPress.
Según los reportes, al explotar estas fallas los actores de amenazas redirigen la URL de las víctimas a sitios web infestados de malware.
Los expertos en servicios de ciberseguridad de la firma WordFence descubrieron algunos casos de explotación de estas fallas en escenarios reales. Según los reportes, los actores de amenazas explotan algunas vulnerabilidades recientemente reveladas, en combinación con errores conocidos, en los plugins de WordPress. “Las vulnerabilidades conocidas ya han sido corregidas, no obstante, las actualizaciones para algunas de estas fallas sólo están disponibles para las cuentas Premium de WordPress”, mencionaron los expertos.
Los atacantes usan solicitudes AJAX muy similares para explotar las fallas en todos los plugins de NicDark. Estas solicitudes registran una acción nopriv_AJAX accesible incluso para los visitantes sin autenticación, de modo que es posible acceder a las configuraciones de WordPress sin la aprobación de los operadores del sitio.
Después, los hackers modifican la configuración de URL del sitio web de las víctimas. Estos cambios permiten que los scripts del sitio afectado se carguen en relación con la ruta inyectada, redirigiendo la URL a un sitio malicioso. “Si el usuario intenta cargar www.sitiowebejemplo.com, el visitante encontrará el sitio controlado por los hackers en su lugar”, agregan los expertos en servicios de ciberseguridad.
Durante la campaña de ataque los hackers han utilizado múltiples sitios web maliciosos, entre los que se encuentran:
- gabriellalovecats.com
- gabriellalovecats.com
- tomorrowwillbehotmaybe.com
- developsincelock.com
Los principales objetivos de estos ataques son los plugins desarrollados por la firma Endreww, anteriormente conocida como NicDark, incluyendo Simple 301 Redirects, Bilk Uploader, entre otros.
Como ya se ha mencionado, WordPress implementó una regla de firewall para solucionar estas fallas, pero está disponible sólo para usuarios con cuenta Premium. En otras palabras, los usuarios de la versión gratuita del CMS siguen expuestos a cualquier variante de ataque basado en la explotación de estas fallas.
Al respecto, WordPress emitió un comunicado confirmando las declaraciones de los expertos en servicios de ciberseguridad, agregando que la actualización estará disponible para los usuarios de la versión gratuita antes del mes de septiembre. “Existen actualizaciones disponibles para la mayoría de los plugins afectados; se recomienda a los usuarios a actualizar los plugins que utilizan a las versiones más recientes”, menciona WordPress.
Acorde a expertos del Instituto Internacional de Seguridad Cibernética (IICS), las vulnerabilidades ya han sido corregidas por la compañía desarrolladora de los plugins, además, los usuarios reciben constantemente recordatorios para instalar las actualizaciones más recientes para mitigar el riesgo de explotación. Por otra parte, el equipo de WordFence menciona que su investigación aún no concluye, por lo que más fallas podrían ser reveladas en el futuro cercano.