Los expertos de Defiant, la compañía que desarrolló el complemento de seguridad Wordfence para WordPress, descubrieron una campaña que aprovecha las fallas de complementos recientemente divulgadas para inyectar código malicioso en los sitios web.
Los expertos señalaron que estos complementos están instalados en miles de sitios web.
Los atacantes inyectan un pequeño fragmento de código JavaScript que está diseñado para obtener código adicional de un dominio externo y ejecutarlo cada vez que los visitantes navegan por el sitio web comprometido.
“El equipo de inteligencia de amenazas ha identificado una campaña que indica el informe publicado por WordFence. Los sitios de las víctimas muestran anuncios emergentes no deseados y redirigen a los visitantes a destinos maliciosos, como estafas de soporte técnico, archivos APK de Android maliciosos y anuncios farmacéuticos incompletos" . "Al atacar algunas vulnerabilidades recientemente reveladas del complemento de WordPress, los atacantes inyectan una carga útil de JavaScript en la parte frontal del sitio de la víctima. Cada una de estas inyecciones contiene una secuencia de comandos corta que genera código adicional de una o más URL de terceros. Ese código se ejecuta cuando un visitante abre a el sitio web de la victima. ”
Las víctimas se redirigen inicialmente a un dominio utilizado para que chequeé el tipo de dispositivo utilizado por los visitantes, luego el código malintencionado los redirige a destinos maliciosos, incluidas las estafas de asistencia técnica , los sitios que ofrecen APK de Android maliciosos y anuncios farmacéuticos incompletos.
“La vulnerabilidad del lápiz amarillo es notable porque, en la mayoría de las configuraciones, un atacante podría habilitar nuevos registros de usuarios con privilegios de administrador, lo que lleva a tomar el control de sitios vulnerables. En lugar de tomar los sitios completamente, estos atacantes parecen satisfechos con la campaña de publicidad engañosa por sí misma. ”continúa el informe.
Los expertos revelaron que la vulnerabilidad de escalada de privilegios en el plugin Personalizador de tema visual de Yellow Pencil fue explotada en una campaña en abril. Los atacantes podrían aprovechar la falla para actualizar opciones arbitrarias en instalaciones vulnerables.
Los expertos de Wordfence observaron un gran volumen de intentos para explotar la vulnerabilidad después de que un investigador de seguridad reveló públicamente un código de explotación de prueba de concepto (POC) para un conjunto de dos vulnerabilidades de software que afectan al complemento.
La vulnerabilidad de escalada de privilegios existe en el lápiz amarillo..phpexpediente. El archivo se utiliza para verificar si el parámetro de solicitud yp_remote_get se ha establecido, y si lo ha hecho, el complemento aumenta los privilegios de los usuarios a los de un administrador.
Un usuario no autenticado podría operar con privilegios de administrador, por ejemplo, podría cambiar opciones arbitrarias.
"La mayoría de los intentos de inyección de XSS seguidos en esta campaña fueron enviados por Direcciones IP vinculadas a proveedores de alojamiento populares ”, concluye el informe. "Con los ataques provenientes de direcciones IP que alojan varios sitios web en vivo, así como nuestra propia evidencia de sitios infectados asociados con esta campaña, es probable que el actor de amenazas esté utilizando sitios infectados para realizar ataques XSS por proxy".
Los investigadores compartieron Indicadores de Compromiso y otros detalles técnicos sobre esto.
https://blog.nintechnet.com/unauthenticated-stored-xss-in-wordpress-coming-soon-page-and-maintenance-mode-plugin/
https://www.webarxsecurity.com/wordpress-plugin-blog-designer/
