Ataque masivo a web WordPress afecta a más de 1.6 millones de sitios – Portal Innova

Resumen de Contenidos
 
 
Hoy, 9 de diciembre de 2021, nuestro equipo de Threat Intelligence notó un aumento drástico en los ataques dirigidos a vulnerabilidades que hacen posible que los atacantes actualicen opciones arbitrarias en sitios vulnerables. Esto nos llevó a una investigación que descubrió un ataque activo dirigido a más de un millón de sitios de WordPress. Durante las últimas 36 horas, la red Wordfence ha bloqueado más de 13,7 millones de ataques dirigidos a cuatro complementos diferentes y varios temas de Epsilon Framework en más de 1,6 millones de sitios y que se originan en más de 16.000 direcciones IP diferentes.
 
Cómo limpiar un sitio de WordPress pirateado o hackeado

 
Los usuarios de Wordfence Premium están protegidos contra cualquier intento de explotación que tenga como objetivo todas estas vulnerabilidades. Los usuarios gratuitos de Wordfence están protegidos contra ataques dirigidos a todas las vulnerabilidades, excepto por la vulnerabilidad recientemente revelada en las capacidades de PublishPress. Los usuarios de Wordfence Premium recibieron una regla de firewall para la vulnerabilidad de actualización de opciones arbitrarias no autenticadas en las capacidades de PublishPress el 6 de diciembre de 2021, y los sitios que aún ejecutan la versión gratuita de Wordfence recibirán la regla de firewall el 6 de enero de 2022.
Los atacantes tienen como objetivo 4 complementos individuales con vulnerabilidades de actualización de opciones arbitrarias no autenticadas. Los cuatro complementos consisten en Kiwi Social Share, que ha sido parcheado desde el 12 de noviembre de 2018, WordPress Automatic y Pinterest Automatic que han sido parcheados desde el 23 de agosto de 2021 y PublishPress Capabilities, que fue parcheado recientemente el 6 de diciembre de 2021. Además, están apuntando a una vulnerabilidad de inyección de funciones en varios temas de Epsilon Framework en un intento de actualizar opciones arbitrarias.
En la mayoría de los casos, los atacantes están actualizando la users_can_registeropción a habilitada y configurando la default_roleopción como «administrador». Esto hace posible que los atacantes se registren en cualquier sitio como un administrador que efectivamente se hace cargo del sitio.
Nuestros datos de ataque indican que hubo muy poca actividad de los atacantes dirigidos a cualquiera de estas vulnerabilidades hasta el 8 de diciembre de 2021. Esto nos lleva a creer que la vulnerabilidad recientemente parcheada en las Capacidades de PublishPress puede haber provocado que los atacantes apunten a varias vulnerabilidades de Actualización de Opciones Arbitrarias como parte de una campaña masiva.

Las 10 direcciones IP infractoras principales en las últimas 36 horas incluyen:

Debido a la gravedad de estas vulnerabilidades y la campaña masiva dirigida a ellas, es increíblemente importante asegurarse de que su sitio esté protegido contra riesgos. Si su sitio ejecuta Wordfence Premium, entonces ya está protegido contra cualquier intento de explotación que tenga como objetivo cualquiera de estas vulnerabilidades. Si su sitio está ejecutando la versión gratuita de Wordfence, entonces está protegido contra las vulnerabilidades dirigidas a cualquiera de las vulnerabilidades, con la excepción de la vulnerabilidad recientemente parcheada en las Capacidades de PublishPress. Los sitios que ejecutan Wordfence Free recibirán la regla de firewall para las capacidades de PublishPress el 6 de enero de 2022, que es 30 días después de los usuarios de Wordfence Premium.
Independientemente de la protección que proporcione Wordfence, recomendamos encarecidamente que se asegure de que cualquier sitio que ejecute uno de estos complementos o temas se haya actualizado a la versión parcheada. Tenemos las versiones afectadas de cada producto que se describen a continuación. Asegúrese de que sus sitios estén ejecutando una versión superior a cualquiera de los enumerados. La simple actualización de los complementos y temas garantizará que su sitio se mantenga a salvo de cualquier compromiso contra cualquier vulnerabilidad que tenga como objetivo estas vulnerabilidades.
Los siguientes son los complementos afectados y sus versiones:
Las siguientes son las versiones del tema Epsilon Framework afectadas:
Como se indicó anteriormente, los atacantes están actualizando la users_can_registeropción a habilitada y configurando la default_roleopción como «administrador» en la mayoría de los casos.
Para determinar si un sitio se ha visto comprometido por estas vulnerabilidades, recomendamos revisar las cuentas de usuario en el sitio para determinar si hay cuentas de usuario no autorizadas. Si el sitio está ejecutando una versión vulnerable de cualquiera de los cuatro complementos o varios temas, y hay una cuenta de usuario fraudulenta, es probable que el sitio se haya visto comprometido a través de uno de estos complementos. Elimine las cuentas de usuario detectadas de inmediato.
También es importante revisar la configuración del sitio y asegurarse de que haya vuelto a su estado original. Puede encontrar estas configuraciones en la página http: // examplesite [.] Com / wp-admin / options-general.php. Asegúrese de que la configuración de «Membresía» esté configurada correctamente como habilitada o deshabilitada, según su sitio, y valide que la «Función predeterminada de nuevo usuario» esté configurada correctamente. Recomendamos encarecidamente no utilizar «Administrador» para el nuevo rol de usuario predeterminado, ya que esto puede conducir a un compromiso inevitable del sitio.

Revise esta guía para limpiar un sitio pirateado con Wordfence para completar la limpieza del sitio una vez que se haya determinado el vector de intrusión y se hayan resuelto los problemas inmediatos. Si no se analiza y limpia todo el sitio para garantizar que no haya puertas traseras adicionales, es posible que un atacante recupere el acceso al sitio.
Si desea ayuda para limpiar un sitio comprometido por uno de estos complementos, le recomendamos que utilice nuestros servicios de limpieza profesional del sitio para ayudarlo a que su sitio vuelva a estar en línea.
 
En la publicación de hoy, detallamos una campaña de ataque activa dirigida a varios complementos y temas que hacen posible que los atacantes se apoderen de manera efectiva de los sitios vulnerables mediante el uso de actualizaciones de opciones arbitrarias. Recomendamos encarecidamente que se asegure de que todos sus sitios se hayan actualizado a las versiones parcheadas de los complementos y temas.
También le recomendamos que comparta esta publicación dentro de la comunidad de WordPress para crear conciencia entre los propietarios de sitios sobre esta campaña de ataque y cómo defenderse de ella.
Podemos actualizar esta publicación a medida que recibamos nueva información.
Equipo Prensa
Portal Innova
Marcas destacadas – Expo Virtual Innovación 2022
[…] el mes de diciembre se detectaron dos fallos críticos en varios plugins de WordPress y aunque fueron parcheados hace semanas, cientos de miles de […]
[…] source […]




Lockers Metálicos | Lockers | Grupos Electrógenos | Proyectos Eléctricos | Control Plagas Urbanas | Monitoreo de Pozos | Telemetría y Automatización de Pozo | Luz Ultravioleta Germicida | Tratamiento de Aguas Residuales | Tecnologías Asociadas Elementos de Protección Personal – EPP | ManexCentrales TelefónicasFitting y Tuberías | Riego Tecnificado | Layflat minería | Lixiviación | Mangueras pozos profundos | Teksa | 

source

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *