Icono del sitio Alta Densidad

Falla en WordPress permite a hackers borrar sitios web

Los hackers están explotando una vulnerabilidad de día cero en un complemento de WordPress creado por ThemeREX, una compañía que vende temas comerciales de WordPress. Los ataques, detectados por Wordfence, una compañía que proporciona un firewall de aplicaciones web (WAF) para sitios de WordPress, comenzaron el 18 de febrero.

Imagen por David M G vía Shutterstock

Se dirigen a complementos ThemeREX, un complemento de WordPress que se envía preinstalado con todos los temas comerciales ThemeREX. La función del complemento es ayudar a los compradores de productos ThemeREX a configurar sus nuevos sitios y controlar varias características del tema. Wordfence estima que el complemento está instalado en más de 44.000 sitios.

Según la firma de seguridad de WordPress, el complemento funciona configurando un punto final REST-API de WordPress. No comprueba que los comandos enviados a esta API REST provienen de usuarios autorizados (es decir, el propietario del sitio).

«Esto significa que cualquier visitante puede ejecutar el código remoto, incluso aquellos que no están autenticados en el sitio». Dijo Chloe Chamberland, analista de amenazas de Wordfence.

«La capacidad más preocupante que vemos atacada activamente es la capacidad de crear un nuevo usuario administrativo, que se puede utilizar para la toma de control completa del sitio», agregó.

«Instamos a los usuarios a eliminar temporalmente el complemento de Complementos ThemeREX si está ejecutando una versión superior a 1.6.50 hasta que se lance un parche». Dijo Chamberland.

Un segundo ataque en un complemento de WordPress de 1 día

Pero los ataques a sitios que ejecutan el complemento Complementos ThemeREX no fueron los únicos que se detectaron ayer.

Hubo una segunda ola de ataques en los sitios de WordPress. Esta segunda ola apuntó a sitios que ejecutan ThemeGrill Demo Importer, un complemento que se envía con temas vendidos por ThemeGrill, otro creador de temas de WordPress.

Sin embargo, estos ataques fueron destructivos, más que parte de un delito cibernético o una operación de botnet. Según WebARX e informes publicados en Twitter, los piratas informáticos utilizaron un error en el complemento ThemeGrill para borrar las bases de datos y restablecer los sitios de WordPress a sus estados predeterminados.

Se cree que más de 200.000 sitios de WordPress ejecutan este plugin ThemeGrill. Además, en algunas circunstancias raras, los atacantes también podrían hacerse cargo de sitios vulnerables secuestrando su cuenta de administrador.

Estos son los llamados ataques de «1 día», un término utilizado para describir los ataques que tienen lugar inmediatamente después de que se proporciona un parche para una vulnerabilidad. Los usuarios de ThemeGrill pueden mitigar los ataques actualizando el complemento vulnerable.

Por otro lado, los ataques en ThemeREX son los llamados ataques de «día cero», ya que explotan un error sin parche para el que no hay parche. Como Wordfence recomendó anteriormente, se recomienda deshabilitar este complemento hasta que haya un parche disponible.

Origen: Los piratas informáticos explotan el día cero en el complemento de WordPress para crear cuentas administrativas falsas ZDNet


Salir de la versión móvil