Escaneo masivo afecta sitios WordPress

Durante el mes de julio proveedores de una solución de seguridad para WordPress han detectado mediante sus sensores una campaña maliciosa que se encuentra escaneando sitios globalmente de forma masiva en busca de una vulnerabilidad específica, asociada al plugin Kaswara Modern WPBakery Page Builder y que se ha extendido desde el el 4 de julio a la fecha abarcando un total de 1.6 Millones de sitios escaneados.

Word-Press

Es un conocido creador de páginas web que permite diseñarlas sin necesidad de grandes conocimientos de programación facilitando enormemente esta labor, y que según mencionan sus creadores, el 43% de las páginas web  en internet son soportadas con WordPress.

A su vez entre las prestaciones que se destacan, es que permite mediante sus 55.000 opciones de plugins incorporar más y mejores funcionalidades a los sitios, siendo este un punto importante dentro de la seguridad del sitio.

Plugins

Los plugins de WordPress son una parte importante de la creación de contenido y además una parte crítica en la seguridad del mismo ya que tal como es fácil incorporarlos y brindar funcionalidades, es importante revisar también que estos se encuentren siempre actualizados tal como cualquier otro software o sistema ya que dependiendo de sus características, podría brindar una puerta de entrada para que actores maliciosos que deseen explotar estas funcionalidades, pudiendo incluso tomar el control del sitio web.

Existen diversas herramientas automatizadas que permiten escanear los sitios en busca de los plugins, obteniendo versiones y vulnerabilidades disponibles, por lo que obtener información referente al descubrimiento y enumeración como parte del proceso de ataque, resulta bastante factible y no requiere de grandes conocimientos para su ejecución.

Amenaza Global

En esta alerta de seguridad que se ha gatillado por los creadores del script WordFerence encargado de brindar seguridad a los portales, quienes han detectado que los actores maliciosos han intentado explotar activamente otro plugin, el cual fue ampliamente incorporado en algunos sitios, pero que su creador desistió continuar con el desarrollo tiempo antes de que se descubriera una vulnerabilidad crítica definida como CVE-2021-24284 que afecta al plugin Kaswara Modern WPBakery Page Builder por lo que no existe versión mitigadora disponible y que permitiría la carga de archivos sin restricciones, pudiendo generar modificaciones en los archivos e incluso capturar la administración  del sitio.

Entre los hallazgos de los investigadores se ha detectado un total de más de 10.200 IP únicas enviando mensajes POST hacia URI “wp-admin/admin-ajax/php” para cargar archivos ZIP maliciosos que contienen archivos PHP que finalmente inyectan código malicioso en archivos javascript legítimos.

Descripcion de CVE

• Plugin:
  • Kaswara Modern WPBakery Page Builder Addons
• Versiones afectadas:
  • <= 3.0.1
• CVE ID:
  • CVE-2021-24284
• CVSSv3:
  • 10.0 (Crítico)
• Parchado:
  • No disponible.

Volumen de ataques detectados por WordFerence

Línea de tiempo

Si bien este escaneo ha sido relevante, durante el presente año ya se han alertado diferentes riesgos vinculados a WordPress, entre ellos  se destaca:

• Junio: 730.000 sitios debieron ser actualizados a la fuerza para parchar el bug de un plugin llamado “Ninja Forms”
• Mayo: se detectó que mediante un tema de wordpress “Jupiter Theme” utilizado por cerca de 90.000 sitios, atacantes podrían tomar el control total mediante un escalamiento de privilegios identificado como CVE-2022-1654
• Mayo: se alertó que actores maliciosos estaban explotando activamente una vulnerabilidad de ejecución remota de código  CVE-2021-25094 en el plugin Tatsu, instalado en cerca de 100.000 sitios.
• Abril: los creadores del plugin “Elementor” lanzaron una  actualización para remediar una ejecución remota de código que podría afectar cerca de 500.000 sitios.
• Abril: sitios comprometidos de WordPress fueron utilizados para generar ataques DDoS en medio de la guerra entre Rusia y Ucrania
• Febrero: WordPress forzó la actualizacion del plugin “UpdraftPlus” que permitía a suscriptores descargar las los respaldos de bases de datos, siendo identificado bajo CVE-2022-0633

Panorama

Debido al amplio uso de WordPress y su amplia cantidad de plugins disponibles es importante mantener un seguimiento de actualización para cada uno de ellos ya que si bien esta campaña se ha hecho pública, no todos los atacantes generan un gran volumen de escaneos y en caso de que este sea completamente dirigido podría ser casi indetectable para compañías de seguridad como WordFerence o para su misma organización.

Si bien este escaneo masivo continúa en curso, es importante tomar acciones a la brevedad posible ya que pese a que en esta campaña se busca un complemento en específico, un sitio web puede mantener múltiples de ellos trabajando paralelamente y cada uno de ellos a su vez contar con variedad de vulnerabilidades más o menos riesgosas pero vulnerables finalmente por lo que es esperable que este tipo de ataques o escaneos perduren en el tiempo dado su amplia utilización y escaso mantenimiento, pudiendo convertirse en una puerta de entrada importante a redes organizacionales.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar reglas de bloqueo para los IoC compartidos
• Implementar mecanismos de seguridad externos al sitio web como pueden ser tecnologías de seguridad perimetral como WAF o servicios de seguridad en la nube externalizados como por ejemplo CloudFlare o Imperva.
• Generar reglas de correlación específicas en sus plataformas SIEM o similares.
• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.