Hackers aprovechan la falla de LiteSpeed Cache para crear admin de WordPress

AXCESS · **Hoy** a las 12:55:19 AM

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los piratas informáticos han estado atacando sitios de WordPress con una versión desactualizada del complemento LiteSpeed Cache para crear usuarios administradores y obtener control de los sitios web.

LiteSpeed Cache (LS Cache) se anuncia como un complemento de almacenamiento en caché utilizado en más de cinco millones de sitios de WordPress que ayuda a acelerar la carga de páginas, mejorar la experiencia de los visitantes y mejorar la clasificación en la Búsqueda de Google.

El equipo de seguridad de Automattic, WPScan, observó en abril una mayor actividad de los actores de amenazas que escanean y comprometen sitios de WordPress con versiones del complemento anteriores a 5.7.0.1, que son vulnerables a una falla de secuencias de comandos entre sitios no autenticados de alta gravedad ( 8.8 ) rastreada como CVE-2023-40000.

Desde una dirección IP, 94[.]102[.]51[.]144, hubo más de 1,2 millones de solicitudes de sondeo al buscar sitios vulnerables.

WPScan informa que los ataques emplean código JavaScript malicioso inyectado en archivos críticos de WordPress o en la base de datos, creando usuarios administradores llamados 'wpsupp-user' o 'wp-configuser'.

Otro signo de infección es la presencia de la cadena "eval(atob(Strings.fromCharCode" en la opción "litespeed.admin_display.messages" de la base de datos.

Código JS malicioso que crea usuarios administradores fraudulentos.
WPScan
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una gran parte de los usuarios de LiteSpeed Cache han migrado a versiones más recientes que no se ven afectadas por CVE-2023-40000, pero un número significativo, hasta 1.835.000, todavía ejecutan una versión vulnerable.

Complemento de orientación a suscriptores de correo electrónico

La capacidad de crear cuentas de administrador en sitios de WordPress brinda a los atacantes control total sobre el sitio web, permitiéndoles modificar contenido, instalar complementos, cambiar configuraciones críticas, redirigir el tráfico a sitios no seguros, distribuir malware, phishing o robar datos de usuario disponibles.

A principios de semana, Wallarm informó sobre otra campaña dirigida a un complemento de WordPress llamado "Suscriptores de correo electrónico" para crear cuentas de administrador.

Los piratas informáticos aprovechan CVE-2024-2876, una vulnerabilidad crítica de inyección SQL con una puntuación de gravedad de 9, 8 / 10 que afecta a las versiones del complemento 5.7.14 y anteriores.

"En los casos de ataques observados, CVE-2024-27956 se ha utilizado para ejecutar consultas no autorizadas en bases de datos y establecer nuevas cuentas de administrador en sitios vulnerables de WordPress (por ejemplo, aquellos que comienzan con "xtw)". – Wallarm

Aunque "Suscriptores de correo electrónico" es mucho menos popular que LiteSpeed Cache, ya que tiene un total de 90.000 instalaciones activas, los ataques observados muestran que los piratas informáticos no rehuirán ninguna oportunidad.

Se recomienda a los administradores del sitio de WordPress que actualicen los complementos a la última versión, eliminen o deshabiliten los componentes que no sean necesarios y supervisen la creación de nuevas cuentas de administrador.

Es obligatoria una limpieza completa del sitio en caso de que se confirme una infracción. El proceso requiere eliminar todas las cuentas no autorizadas, restablecer las contraseñas de todas las cuentas existentes y restaurar la base de datos y los archivos del sitio a partir de copias de seguridad limpias.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Hackers aprovechan la falla de LiteSpeed Cache para crear admin de WordPress

AXCESS

Hoy a las 12:55:19 AM Ultima modificación: Hoy a las 12:57:16 AM por AXCESS