La reciente campaña de malware dirigida al complemento Popup Builder de WordPress ha generado preocupación debido a su capacidad para aprovechar una vulnerabilidad importante de este complemento y propagar código JavaScript malicioso. Durante las últimas tres semanas, más de 3.000 sitios web, han sido infectados, según un informe de Sucuri.
CVE afectado
Los ciber actores estarían explotando una vulnerabilidad identificada como CVE-2023-6000. Esta vulnerabilidad permite la creación de usuarios administradores maliciosos e instalación de complementos arbitrarios. Además, los ataques se originan desde dominios recién registrados, lo que indica una sofisticación por parte de los atacantes para ocultar sus actividades maliciosas y pasar desapercibidos por algunos sistemas de seguridad.
Propósito del ataque
El ataque se lleva a cabo mediante la inserción de código malicioso en las secciones JavaScript o CSS personalizado de la interfaz de administración de WordPress, almacenando este código en la tabla de base de datos 'wp_postmeta'. El propósito principal del código inyectado es actuar como controladores de eventos para varias acciones del complemento Popup Builder. Esto permite que el código malicioso se ejecute en momentos específicos, redirigiendo a los visitantes de los sitios infectados a destinos maliciosos, como páginas de phishing y sitios de descarga de malware. Además, el código puede incluir una URL de redireccionamiento para ciertos eventos, como la apertura de una ventana emergente "contact-form-7", como se observó en algunas infecciones.
Ilustración 1: Redireccionamiento de URL
Fuente: Sucuri.net
Otras vulnerabilidades asociadas a Wordpress
Por otro lado, se ha identificado una vulnerabilidad grave en el complemento Ultimate Member, conocida como CVE-2024-2123, que permite a atacantes no autenticados inyectar scripts web maliciosos. Esta vulnerabilidad, parcheada en la versión 2.8.4, añade preocupaciones adicionales sobre la seguridad en WordPress. Además, otras vulnerabilidades recientes, como la CVE-2024-1468 en el tema Avada WordPress, subrayan la necesidad de una gestión proactiva de la seguridad en los sitios de WordPress.
PoC CVE-2023-6000
Actualmente ya existe una PoC disponible en Github para verificar los sitios montados en Wordpress que posean el complemento “popup builder” desactualizado.
Ilustración 2: PoC disponible en Github
Fuente: Github
Apreciación
Los sitios web que utilizan WordPress requieren una vigilancia constante y medidas preventivas sólidas. Los adminstradores de estos sitios deben mantenerse al tanto de las vulnerabilidades conocidas, aplicar parches y actualizaciones de forma regular, y considerar la implementación de medidas adicionales de seguridad, como cortafuegos y escaneos de seguridad automáticos. La colaboración entre los desarrolladores de WordPress, los investigadores de seguridad y la comunidad de usuarios es crucial para abordar y mitigar eficazmente las amenazas emergentes en el ecosistema de WordPress.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
Tipo | Indicador |
---|---|
Balada Injector | - |
url | hxxp://ttincoming[.]travelt... |
url | hxxps://host[.]cloudsonicwa... |
Renuncia de Responsabilidad:
Utilice esta información bajo su propia responsabilidad! El Centro de Ciberinteligencia de Entel no se hace responsable por el uso indebido o pruebas de conceptos no controladas por parte del lector.