- Il confronto
- Tutorial
- Miles de sitios de WordPress que redirigen a los usuarios a dominios peligrosos
Más de 900,000 sitios de WordPress han sido atacados en una nueva campaña de ataque que tiene como objetivo redirigir a los visitantes a sitios maliciosos o plantar puertas traseras en el encabezado de un tema si un administrador ha iniciado sesión.
La mayoría de estos ataques parecen ser obra de un solo actor de amenazas basado en la carga maliciosa de JavaScript que intentan inyectar en sitios vulnerables. El atacante también explotó vulnerabilidades antiguas que les permitieron modificar la URL de inicio de un sitio al mismo dominio utilizado en la carga útil de scripting entre sitios (XSS) para redirigir a los visitantes a sitios maliciosos.
En una publicación de blog, Senior QA en Defiant, Ram Gall proporcionó información adicional sobre la escala de la campaña, indicando:
"Aunque nuestros registros muestran que este actor de amenaza puede haber enviado un volumen menor de ataques en el pasado, es solo en los últimos días que realmente han aumentado, hasta el punto de que más de 20 Se intentaron millones de ataques contra más de medio millón de sitios individuales el 3 de mayo de 2020. En el último mes en total, hemos detectado que más de 24,000 direcciones IP separadas enviaron solicitudes que coinciden con estos ataques en más de 900,000 sitios.
Apunte a vulnerabilidades antiguas de WordPress
Según Gall, el atacante ha apuntado a varias vulnerabilidades en los complementos de WordPress que se han eliminado de los repositorios oficiales o se han solucionado en los últimos años.
Más de la mitad de todos los ataques se dirigieron a sitios con el complemento Easy2Map, que contiene una vulnerabilidad XSS. Aunque el complemento se eliminó del repositorio de WordPress en agosto de 2019, todavía está instalado en menos de 3000 sitios. El atacante también explotó una vulnerabilidad XSS en el complemento Blog Designer que se corrigió en 2019 y el tema del periódico que se corrigió en 2016.
Para modificar la URL del host de un sitio, el atacante aprovechó una vulnerabilidad de actualización de opciones en los complementos WP GDPR Compliance y Total Donations. WP GDPR Compliance tiene más de 100,000 instalaciones, pero Defiant estima que solo quedan 5,000 instalaciones vulnerables. Sin embargo, la donación total se eliminó permanentemente del mercado de Envato a principios de 2019 y se estima que quedan menos de 1,000 instalaciones en total.
Si su sitio utiliza uno de estos complementos o temas, se recomienda encarecidamente que los actualice de inmediato y elimine los que ya no están en el repositorio oficial de WordPress.
Vía BleepingComputer