Cientos de miles de sitios web están sufriendo ciberataques en los últimos días gracias a un exploit que permite explotar una vulnerabilidad 'zero day', según ha detectado el equipo de 'threat intelligence' (inteligencia de amenazas) de la compañía Wordfence, un proveedor de soluciones de ciberseguridad para sitios web basados en WordPress, el CMS o gestor de contenidos web más usado de Internet (con más de 30 millones de sitios en activo).
El pasado día 8 de septiembre de 2022, descubrieron que varios de los intentos de intrusión frenados por su cortafuegos para sitios WordPress buscaban explotar una vulnerabilidad que afectaba a un complemento premium de dicho CMS, WPGateway, que permite a los administradores simplificar algunas tareas de gestión del sitio, centralizando en un mismo panel la administración de temas, complementos y copias de seguridad.
Concretamente, su cortafuegos había frenado 4,6 millones de intentos de intrusión en aproximadamente 280.000 sitios web sólo a lo largo de los 30 días previos.
La vulnerabilidad en cuestión permite que los atacantes, pese a carecer de datos de acceso, agregar un usuario malicioso con privilegios de administrador al sitio web, lo que les permite tomar el control total del sitio web. Dicho administrador recibe siempre el nombre de 'rangex', por lo que si tienes instalado WPGateway, deberías asegurarte de no tener un usuario recientemente añadido con dicho nombre.
¿Cómo solucionarlo?
Pero el problema no desaparece sólo con suprimir al citado usuario malicioso, pues puede volver a ser creado utilizando la misma técnica. Ram Gall, analista de Wordfence, nos insta, directamente, a eliminar el plugin "hasta que haya un parche disponible", lo cual aún no sabemos cuándo ocurrirá.
Wordfence, por su parte, ha anunciado que desde el día 8 ha incorporado a sus productos premium una regla de firewall que bloquea dicho exploit (si eres usuario de sus productos gratuitos, deberás esperar hasta el día 8 de octubre para tener acceso a esta actualización).
Además, la compañía se ha reservado detalles sobre el funcionamiento del exploit para dar tiempo a que los desarrolladores del plugin desarrollen su producto antes de que otros ciberdelincuentes desarrollen sus propias alternativas y se unan a los ataques.
Vía | The Hacker News
Ver 1 comentarios