Un grupo de hackers intentó secuestrar 900,000 sitios de WordPress
Un grupo de hackers ha intentado secuestrar casi un millón de sitios de WordPress en los últimos siete días. Esto según una alerta de seguridad emitida hoy por la firma de ciberseguridad Wordfence.
La compañía dice que, desde el 28 de abril, este grupo de hackers en particular se ha involucrado en una campaña de hacking de proporciones masivas. Este ataque causó un aumento de 30 veces el volumen de tráfico de ataques que Wordfence ha estado rastreando.
“Si bien nuestros registros muestran que este actor de amenaza puede haber enviado un volumen menor de ataques en el pasado. Empero, en los últimos días es que realmente han aumentado”, según afirmaciones de Ram Gall, ingeniero de control de calidad en Wordfence.
Gall dice que el grupo lanzó ataques desde más de 24,000 direcciones IP distintas e intentó ingresar a más de 900,000 sitios de WordPress.
Los ataques alcanzaron su punto máximo el domingo 3 de mayo. Esto cuando el grupo lanzó más de 20 millones de intentos de explotación contra medio millón de dominios.
Gall dice que el grupo explotó principalmente vulnerabilidades de scripting entre sitios (XSS). Todo con el objetivo de plantar código JavaScript malicioso en sitios web, para redirigir el tráfico entrante a sitios maliciosos.
El código malicioso también escaneó a los visitantes entrantes en busca de administradores registrados. Luego intentó automatizar la creación de cuentas de puerta trasera a través de los usuarios administradores desprevenidos.
Wordfence dice que los hackers usaron un amplio espectro de vulnerabilidades para sus ataques.
Técnicas utilizadas
Las diferentes técnicas observadas durante la última semana se detallan a continuación:
- Una vulnerabilidad XSS en el complemento Easy2Map, que se eliminó del repositorio de complementos de WordPress en agosto de 2019. Wordfence dice que los intentos de explotación de esta vulnerabilidad representaron más de la mitad de los ataques. Esto a pesar de que el complemento se instaló en menos de 3.000 sitios de WordPress.
- Una vulnerabilidad XSS en Blog Designer que fue parcheada en 2019. Wordfence dice que este plugin es usado por aproximadamente 1,000 sitios, y que esta vulnerabilidad también fue el objetivo de otras campañas.
- Una vulnerabilidad de actualización de opciones en WP GDPR Compliance parcheada a fines de 2018. Esta permitiría a los atacantes cambiar la URL de inicio del sitio, además de otras opciones. Aunque este complemento tiene más de 100,000 instalaciones, Wordfence estimó que no quedan más de 5,000 instalaciones vulnerables.
- Una vulnerabilidad de actualización de opciones en Total Donations que permitiría a los atacantes cambiar la URL de inicio del sitio. Este complemento se eliminó permanentemente de Envato Marketplace a principios de 2019, pero Wordfence dice que quedan menos de 1,000 instalaciones en total.
- Una vulnerabilidad XSS en el tema Newspape que fue parcheada en 2016. Esta vulnerabilidad también se ha abordado en el pasado.
Sin embargo, Wordfence también advierte que el actor de la amenaza es lo suficientemente sofisticado como para desarrollar nuevos exploits. Por lo tanto, es probable que se convierta en otras vulnerabilidades en el futuro.
Recomendaciones
Se recomienda a los propietarios de sitios web de WordPress que actualicen los temas y complementos que hayan instalado en sus sitios. Además, opcionalmente, que instalen un complemento de firewall de aplicación de sitio web (WAF) para bloquear ataques, en caso de ser atacados.