Hoy, 9 de diciembre de 2021, el equipo de Threat Intelligence de Wordfence notó un aumento drástico en los ataques dirigidos a vulnerabilidades que hacen posible que los atacantes actualicen opciones arbitrarias en sitios web vulnerables. Esto llevó a una rápida investigación que descubrió un ataque activo dirigido a más de un millón de sitios web que trabajan con el CMS WordPress. Durante las últimas 36 horas se han detectado más de 13,7 millones de ataques dirigidos a cuatro plugins diferentes y varios temas de Epsilon Framework en más de 1,6 millones de sitios y que se originan desde más de 16.000 direcciones IP diferentes.
Los atacantes tienen como objetivo 4 plugins con vulnerabilidades de actualización de opciones arbitrarias no autenticadas. Los cuatro plugins comprometidos son Kiwi Social Share, que ha sido parcheado desde el 12 de noviembre de 2018, WordPress Automatic y Pinterest Automatic, que han sido parcheados desde el 23 de agosto de 2021, y PublishPress Capabilities, que fue parcheado recientemente el 6 de diciembre de 2021. Además, están apuntando a una vulnerabilidad de inyección de funciones en varios temas de Epsilon Framework en un intento de actualizar opciones arbitrarias.
En la mayoría de los casos, los atacantes actualizan la opción users_can_register habilitándola y configuran la opción default_role en «administrador». Esto hace posible que los atacantes se registren en cualquier sitio como un administrador que efectivamente toma todo el control del sitio web.
Los informes indican que hubo muy poca actividad de los atacantes dirigidos a cualquiera de estas vulnerabilidades hasta el 8 de diciembre de 2021. Esto lleva a creer que la vulnerabilidad recientemente parcheada en las Capacidades de PublishPress puede haber provocado que los atacantes apunten a varias vulnerabilidades de Actualización de Opciones Arbitrarias como parte de una campaña masiva.
¿Cómo puedo mantener mi sitio web protegido?
Debido a la gravedad de estas vulnerabilidades y la campaña masiva dirigida a ellas, es increíblemente importante asegurarse de que su sitio esté protegido contra riesgos. Se recomienda encarecidamente que se asegure de que cualquier sitio que ejecute uno de estos complementos o temas se haya actualizado a la versión parcheada. Tenemos las versiones afectadas de cada producto que se describen a continuación. Asegúrese de que sus sitios estén ejecutando una versión superior a cualquiera de los enumerados. La simple actualización de los complementos y temas garantizará que su sitio se mantenga a salvo de cualquier compromiso contra cualquier vulnerabilidad que tenga como objetivo estas vulnerabilidades.
Los siguientes son los complementos afectados y sus versiones:
- PublishPress Capabilities <= 2.3
- Kiwi Social Plugin <= 2.0.10
- Pinterest Automatic <= 4.14.3
- WordPress Automatic <= 3.53.2
Las siguientes son las versiones del tema Epsilon Framework afectadas:
- Shapely <=1.2.8
- NewsMag <=2.4.1
- Activello <=1.4.1
- Illdy <=2.1.6
- Allegiant <=1.2.5
- Newspaper X <=1.3.1
- Pixova Lite <=2.0.6
- Brilliance <=1.2.9
- MedZone Lite <=1.2.5
- Regina Lite <=2.0.5
- Transcend <=1.1.9
- Affluent <1.1.0
- Bonkers <=1.0.5
- Antreas <=1.0.6
- NatureMag Lite – No se conoce parche. Recomendado para desinstalar del sitio.
¿Cómo sé si mi sitio ha sido infectado y qué debo hacer?
Como se indicó anteriormente, los atacantes están actualizando la opción users_can_register a habilitada y configurando la opción default_role como «administrador» en la mayoría de los casos.
Para determinar si un sitio se ha visto comprometido por estas vulnerabilidades, se recomienda revisar las cuentas de usuario en el sitio para determinar si hay cuentas de usuario no autorizadas. Si el sitio está ejecutando una versión vulnerable de cualquiera de los cuatro complementos o varios temas, y hay una cuenta de usuario fraudulenta presente, es probable que el sitio se haya visto comprometido a través de uno de estos complementos. Elimine las cuentas de usuario detectadas de inmediato.
También es importante revisar la configuración del sitio y asegurarse de que haya vuelto a su estado original. Puede encontrar estas configuraciones en la página http: // examplesite [.] Com / wp-admin / options-general.php. Asegúrese de que la configuración de «Membresía» esté configurada correctamente como habilitada o deshabilitada, según su sitio, y valide que la «Función predeterminada de nuevo usuario» esté configurada correctamente. Recomendamos encarecidamente no utilizar «Administrador» para el nuevo rol de usuario predeterminado, ya que esto puede conducir a un compromiso inevitable del sitio.
Fuente: Wordfence