Los investigadores de Wordfence han detectado una campaña a gran escala contra sitios web de WordPress en la que los atacantes intentaban explotar antiguas vulnerabilidades de cross site scripting (XSS) en plugins y temas de WordPress en un intento de robar credenciales de bases de datos.
Wordfence dijo que entre el 29 de mayo y el 31 de mayo bloqueó más de 130 millones de ataques destinados a obtener credenciales de base de datos de 1.3 millones de sitios. El objetivo de los ataques era descargar archivos wp-config.php de sitios web sin parches y obtener acceso al contenido y las credenciales del sitio.
Wp-config.php es un archivo donde WordPress almacena la información de la base de datos del sitio. Este archivo de configuración generalmente se encuentra en la raíz de los directorios de archivos de WordPress y contiene las credenciales de la base de datos de los sitios web y la información de conexión.
"El pico de esta campaña de ataque ocurrió el 30 de mayo de 2020. En este punto, los ataques de esta campaña representaron el 75% de todos los intentos de explotación de vulnerabilidades de plugins y temas en todo el ecosistema de WordPress", dijo Wordfence.
Los investigadores dijeron que los ataques se lanzaron desde más de 20,000 direcciones IP diferentes que anteriormente se usaron en otra campaña dirigida a sitios de WordPress a fines de abril, donde los atacantes intentaron inyectar un JavaScript malicioso en los sitios web, lo que redirigiría a los visitantes a sitios de publicidad maliciosa o tomaría ventaja de una sesión de administrador para plantar una puerta trasera PHP.
“Si su servidor está configurado para permitir el acceso remoto a la base de datos, un atacante con las credenciales de su base de datos podría agregar fácilmente un usuario administrativo, filtrar datos confidenciales o eliminar su sitio por completo. Incluso si su sitio no permite el acceso remoto a la base de datos, un atacante que conozca las claves y sales de autenticación de su sitio puede usarlas para evitar más fácilmente otros mecanismos de seguridad ”, señalaron los investigadores.
