Los scripts maliciosos y las puertas traseras atacan fallas críticas en los complementos de WordPress
Una nueva ola de ciberataques está explotando las vulnerabilidades en tres complementos de WordPress ampliamente utilizados, inyectando scripts maliciosos y puertas traseras en sitios web, advierte Fastly. Estas fallas críticas permiten a los atacantes ejecutar ataques de secuencias de comandos entre sitios (XSS) almacenados no autenticados, lo que facilita la creación de cuentas de administrador de WordPress no autorizadas, la inyección de puertas traseras PHP en archivos de temas y complementos, y la configuración de secuencias de comandos de seguimiento para monitorear sitios comprometidos.
Fastly ha observado un número significativo de intentos de explotación provenientes de IP vinculadas al Sistema Autónomo (AS) IP Volume Inc. Los complementos afectados incluyen WP Statistics, WP Meta SEO y LiteSpeed Cache, lo que afecta a millones de instalaciones activas.
Tabla de contenido
Vulnerabilidad de estadísticas de WP: CVE-2024-2194
La primera vulnerabilidad afecta al complemento WP Statistics, que cuenta con más de 600.000 instalaciones activas. Registrada como CVE-2024-2194, esta falla permite a los atacantes inyectar scripts a través del parámetro de búsqueda de URL. Revelado en marzo, afecta a las versiones 14.5 y anteriores. Los scripts inyectados se ejecutan cada vez que un usuario accede a una página infectada, y los atacantes agregan el parámetro 'utm_id' a las solicitudes para garantizar que la carga útil aparezca en las páginas más visitadas.
Vulnerabilidad de WP Meta SEO: CVE-2023-6961
La segunda vulnerabilidad, CVE-2023-6961, afecta al complemento WP Meta SEO, con más de 20.000 instalaciones activas. Este error permite a los atacantes inyectar una carga útil en páginas que generan una respuesta 404. Cuando un administrador carga una página de este tipo, el script recupera el código JavaScript ofuscado de un servidor remoto. Si el administrador está autenticado, la carga útil puede robar sus credenciales.
Vulnerabilidad de caché LiteSpeed: CVE-2023-40000
La tercera vulnerabilidad, CVE-2023-40000, apunta al complemento LiteSpeed Cache, que tiene más de 5 millones de instalaciones activas. Los atacantes disfrazan la carga útil XSS como una notificación de administrador, activando el script cuando un administrador accede a una página de backend. Esto permite que el script se ejecute utilizando las credenciales del administrador para acciones maliciosas posteriores.
La investigación de Fastly ha identificado cinco dominios a los que se hace referencia en las cargas útiles maliciosas, junto con dos dominios adicionales utilizados para el seguimiento, al menos uno de los cuales se ha asociado previamente con la explotación de complementos vulnerables de WordPress. Se recomienda a los administradores de sitios web que utilizan los complementos afectados que actualicen a las últimas versiones de inmediato y supervisen sus sitios para detectar cualquier actividad sospechosa.