Vulnerabilidad gravemente crítica de WPBakery: podría afectar a más de 500.000 sitios web

valla de palabras ha informado que se ha observado un aumento gravemente crítico en los intentos de ataques a una vulnerabilidad de WPBakery.

Esta vulnerabilidad en particular se conoce como vulnerabilidad de “carga de archivos arbitraria”, rastreada como CVE-2021-24284, que fue previamente revelado el 21 de abril de 2021.

Si bien el complemento ha estado cerrado, no ha sido parcheado.

Capacidad de carga de archivos PHP maliciosos

La naturaleza de la vulnerabilidad brinda a los atacantes malintencionados la capacidad de cargar archivos PHP maliciosos en un sitio web afectado, lo que puede provocar el control de un sitio completo.

Una vez que se ha establecido un punto de apoyo, se puede inyectar JavaScript malicioso en los archivos del sitio, incluidas otras actividades maliciosas que pueden cometer los atacantes.

Wordfence informa que todos los clientes han estado protegidos de esta campaña desde el 21 de mayo de 2021 y Wordfence Premium implementó una nueva regla de firewall que ayuda a mitigar estos ataques.

Leer:  Cómo utilizar la psicología para convertir a los espectadores en clientes

WordFence recomienda encarecidamente que elimine por completo los complementos de Kaswara Modern WPBakery Page Builder lo antes posible y trabaje con una alternativa.

Explican que es muy poco probable que este complemento alguna vez reciba un parche.

Informan que han bloqueado un promedio de 443.868 intentos de ataque por día que intentaban atacar la red de sitios que han protegido durante la campaña.

Aunque se atacaron 1.599.852 sitios web únicos, es importante tener en cuenta que la mayoría de estos sitios no utilizaban el complemento responsable de esta vulnerabilidad.

Fuente: https://www.wordfence.com/blog/2022/07/attacks-on-modern-wpbakery-page-builder-addons-vulnerability/

Estadísticas de la vulnerabilidad de WPBakery

A continuación se incluyen las estadísticas de la vulnerabilidad WPBakery, que se compone de una puntuación CVSS de 10,0 (que es la puntuación más alta que puede obtener una vulnerabilidad).

Esto hace que esta vulnerabilidad sea una prioridad extremadamente alta para resolver, si está utilizando este complemento.

  • “Descripción: carga/eliminación arbitraria de archivos y otros
  • Complemento afectado: complementos de Kaswara Modern WPBakery Page Builder
  • Complemento Slug: kaswara
  • Versiones afectadas: <= 3.0.1
  • ID CVE: CVE-2021-24284
  • Puntuación CVSS: 10,0 (crítico)
  • CVSS Vector:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Versión completamente parcheada: NO HAY PARCHE DISPONIBLE”.

¿Cuáles son los indicios comunes de un ataque?

Wordfence también informó que la mayoría de los ataques que están observando envían lo que se llama una solicitud POST al siguiente archivo: /wp-admin/admin-ajax.php.

Leer:  Cómo ir más allá del volumen de búsqueda cuando realiza una investigación de palabras clave

Los atacantes hacen esto usando la acción uploadFontIcon AJAX que forma parte de este complemento.

Luego, estos atacantes utilizan la vulnerabilidad para cargar un archivo en el sitio web afectado.

Es posible que sus registros muestren una cadena de consulta en el siguiente evento:

/wp-admin/admin-ajax.php?action=uploadFontIcon HTTP/1.1

Las siguientes IP son aparentemente responsables de la mayoría de los ataques, según el informe de Wordfence:

  • “217.160.48.108 con 1.591.765 intentos de explotación bloqueados
  • 5.9.9.29 con 898.248 intentos de explotación bloqueados
  • 2.58.149.35 con 390.815 intentos de explotación bloqueados
  • 20.94.76.10 con 276.006 intentos de explotación bloqueados
  • 20.206.76.37 con 212.766 intentos de explotación bloqueados
  • 20.219.35.125 con 187.470 intentos de explotación bloqueados
  • 20.223.152.221 con 102.658 intentos de explotación bloqueados
  • 5.39.15.163 con 62.376 intentos de explotación bloqueados
  • 194.87.84.195 con 32.890 intentos de explotación bloqueados
  • 194.87.84.193 con 31.329 intentos de explotación bloqueados”

¿Cuáles son los indicadores comunes de que un sitio se vio comprometido?

Actualmente, existen indicaciones limitadas que los webmasters pueden utilizar para determinar si su sitio ha sido comprometido por este ataque.

Pero Wordfence recomienda, basándose en la funcionalidad de la vulnerabilidad, verificar el directorio /wp-content/uploads/kaswara/ junto con todos y cada uno de los subdirectorios para archivos PHP asociados con este directorio.

Sin embargo, han encontrado los siguientes archivos comunes en sitios que se han visto afectados por este ataque de piratas informáticos:

  • /wp-content/uploads/kaswara/icons/kntl/img.php
  • /wp-content/uploads/kaswara/fonts_icon/15/icons.php
  • /wp-content/uploads/kaswara/icons/brt/t.php
  • /wp-content/uploads/kaswara/fonts_icon/jg4/coder.php
Leer:  Rich Snippets: ¿Qué son y qué deben saber los profesionales de SEO?

En última instancia, se trata de una vulnerabilidad de día cero explotada activamente

El principal problema que afecta a este complemento en particular es el hecho de que tiene muchas fallas que tienen vulnerabilidades importantes que los atacantes que no están autenticados por el servidor pueden aprovechar para realizar actos maliciosos.

Los atacantes pueden cargar archivos maliciosos y estos archivos pueden usarse para asumir la propiedad de un sitio web por completo.

Debido a que el complemento no está parcheado, la recomendación es desactivarlo y eliminarlo inmediatamente.

Después de hacer esto, necesitarás encontrar una alternativa que no se haya visto afectada por ningún ataque malicioso.

Nuevas Publicaciones:

Recomendamos