Hasta 1,6 millones de sitios de WordPress han sido blanco de una campaña activa de ataque a gran escala que se origina en 16.000 direcciones IP mediante la explotación de debilidades en cuatro complementos y 15 temas de Epsilon Framework.
La compañía de seguridad WordPress Wordfence, que reveló detalles de los ataques, dijo el jueves que había detectado y bloqueado más de 13,7 millones de ataques dirigidos a los plugins y temas en un período de 36 horas con el objetivo de apoderarse de los sitios web y llevar a cabo acciones maliciosas.
Los plugins en cuestión son Kiwi Social Share (<= 2.0.10), WordPress Automatic (<= 3.53.2), Pinterest Automatic (<= 4.14.3) y PublishPress Capabilities (<= 2.3), algunos de los cuales han sido parcheados desde noviembre de 2018. Los temas afectados de Epsilon Framework y sus versiones correspondientes son los siguientes:
- Activello (<=1.4.1)
- Afluentes (<1.1.0)
- Allegiant (<=1.2.5)
- Antreas (<=1.0.6)
- Locos (<=1.0.5)
- Brillo (<=1.2.9)
- Illdy (<=2.1.6)
- MedZone Lite (<=1.2.5)
- NatureMag Lite (no hay parche conocido disponible)
- NewsMag (<=2.4.1)
- Periódico X (<=1.3.1)
- Pixova Lite (<=2.0.6)
- Regina Lite (<=2.0.5)
- Con forma (<=1.2.8)
- Trascender (<=1.1.9)
La mayoría de los ataques observados por Wordfence implican que el adversario actualice la opción "users_can_register" (es decir, cualquiera puede registrarse) para habilitar y establecer la configuración "default_role" (es decir, el rol predeterminado de los usuarios que se registran en el blog) al administrador, lo que permite a un adversario registrarse en los sitios vulnerables como usuario privilegiado y tomar el control.
Además, se dice que las intrusiones se dispararon solo después del 8 de diciembre, lo que indica que "la vulnerabilidad recientemente parcheada en PublishPress Capabilities puede haber provocado que los atacantes se dirijan a varias vulnerabilidades de actualización de opciones arbitrarias como parte de una campaña masiva", dijoChloe Chamberland de Wordfence.
A la luz de la explotación activa, se recomienda a los propietarios de sitios de WordPress que ejecuten cualquiera de los complementos o temas mencionados anteriormente que apliquen las últimas correcciones para mitigar la amenaza.