piratas informáticos comenzó a explotar Vulnerabilidad crítica en el complemento WP Automatic para WordPress. El error se utiliza para crear nuevos usuarios con derechos de administrador e introducir puertas traseras.
Actualmente, WP Automatic está instalado en más de 30.000 sitios. El complemento permite a los administradores automatizar la importación de contenido (como texto, imágenes y videos) de varias fuentes, así como publicarlo en su sitio de WordPress.
La vulnerabilidad atacada tiene un identificador CVE-2024-27956 y tiene una calificación de 9,8 sobre 10 en la escala CVSS. El problema era descubierto y revelado por investigadores de PatchStack en marzo de 2024. Los expertos lo describieron como un problema de inyección SQL que afecta a WP Automatic hasta la versión 3.9.2.0. Es decir, la vulnerabilidad se solucionó en la versión 3.92.1 o posterior.
El error está relacionado con el mecanismo de autenticación del complemento, que se puede omitir para enviar consultas SQL a la base de datos del sitio. Como resultado, los piratas informáticos pueden utilizar consultas especialmente diseñadas para crear nuevas cuentas de administrador en el recurso de destino.
Según WPScan, desde que PatchStack informó del problema, se han realizado más de 5,5 millones de intentos de ataque contra la vulnerabilidad, la mayoría de los cuales ocurrieron el 31 de marzo de este año.
WPScan informa que después de obtener acceso administrativo a un sitio, los atacantes crean puertas traseras y ofuscan el código para que el hack sea más difícil de detectar. Además, para evitar que otros piratas informáticos comprometan el mismo sitio y evitar ser detectados, los piratas informáticos cambian el nombre del archivo csv.php vulnerable (/wp‑content/plugins/wp‑automatic/inc/csv.php), convirtiéndolo, por ejemplo, en csv65f82ab408b3.php.
Al tomar el control del sitio web de otra persona, los atacantes suelen instalar complementos adicionales que les permiten cargar archivos y editar código.
WPScan recuerda que los administradores pueden detectar signos de compromiso buscando una cuenta de administrador que comience con “xtw”, así como archivos llamados web.php e index.php, que son puertas traseras instaladas durante los ataques.
2024-04-27 12:30:53
#Los #piratas #informáticos #están #atacando #una #nueva #vulnerabilidad #complemento #Automatic #Hacker,