Hackers explotan activamente el complemento de uso compartido de redes sociales

Los hackers explotan activamente el complemento de uso compartido de redes sociales para WordPress

Se ha descubierto que los piratas informáticos explotan un par de vulnerabilidades críticas de seguridad en uno de los populares complementos de redes sociales para compartir el control de los sitios web de WordPress que todavía ejecutan una versión vulnerable del complemento.

El complemento vulnerable en cuestión es Social Warfare, que es un popular y ampliamente implementado complemento de WordPress con más de 900,000 descargas. Se utiliza para agregar botones de redes sociales a un sitio web o blog de WordPress.

A finales del mes pasado, los mantenedores de Social Warfare for WordPress lanzaron una versión actualizada 3.5.3 de su complemento para parchear dos vulnerabilidades de seguridad: secuencias de comandos entre sitios almacenadas (XSS) y ejecución remota de código (RCE), rastreadas por un solo identificador, es decir , CVE-2019-9978 .


Los piratas informáticos pueden explotar estas vulnerabilidades para ejecutar código PHP arbitrario y tomar el control completo de los sitios web y servidores sin autenticación, y luego usar los sitios comprometidos para realizar minería de monedas digitales o alojar código de exploits maliciosos.

Sin embargo, el mismo día en que Social Warfare lanzó la versión parcheada de su complemento, un investigador de seguridad sin nombre publicó una divulgación completa y una prueba de concepto para la vulnerabilidad almacenada de secuencias de comandos entre sitios (XSS).




Poco después de la divulgación completa y el lanzamiento de PoC, los atacantes comenzaron a intentar explotar la vulnerabilidad, pero, afortunadamente, solo se limitó a la actividad de redireccionamiento de JavaScript inyectado, y los investigadores no encontraron intentos de explotar la vulnerabilidad de RCE.

Ahora, los investigadores de la Unidad 42 de la Red de Palo Alto encontraron varios exploits aprovechando estas vulnerabilidades en la naturaleza, incluyendo un exploit para la vulnerabilidad RCE que permite al atacante controlar el sitio web afectado y un exploit para la vulnerabilidad XSS que redirige a las víctimas a un sitio de anuncios. .

Aunque ambas fallas se originaron debido a un manejo incorrecto de la entrada, el uso de una función incorrecta, insuficiente, eventualmente hizo posible que los atacantes remotos las explotaran sin requerir ninguna autenticación.


"La causa raíz de cada una de estas dos vulnerabilidades es la misma: el uso incorrecto de la función is_admin () en WordPress", dicen los investigadores en una publicación del blog . "Is_admin solo verifica si la página solicitada es parte de la interfaz de administración y no evitará ninguna visita no autorizada".


En el momento de redactar este informe, más de 37,000 sitios web de WordPress de 42,000 sitios activos, incluidos los sitios de educación, finanzas y noticias (algunos de los sitios web con el ranking más alto de Alexa), todavía usan una versión obsoleta y vulnerable del complemento Guerra Social, dejando cientos de millones de sus visitantes corren el riesgo de piratear otros vectores.
Dado que es probable que los atacantes sigan explotando las vulnerabilidades para atacar a los usuarios de WordPress, se recomienda encarecidamente a los administradores de sitios web que actualicen el complemento de Social Warfare a 3.5.3 o una versión más reciente tan pronto como sea posible.


Vía: /thehackernews.com