Este plugin presenta un grave riesgo de seguridad para los sitios en WordPress: ¡Elimínalo ya!

¡Si tienes instalado este plugin en tu sitio web desinstálalo ya!

Plugin Kaswara Modern WPBakery Page Builder
Plugin WPBakery Page Builder

Gracias a los investigadores de seguridad, se ha descubierto que el plugin Kaswara Modern  – WPBakery Page Builder pone en riesgo a sitios web que hacen uso de la plataforma WordPress. La falla de seguridad de este complemento es que permite al atacante poder cargar archivos sin autenticación, los atacantes se han dado a la tarea de rastrear aproximadamente 1,6 millones de sitios web en busca del complemento.

Actualmente los atacantes tienen como objetivo el plugin Kaswara Modern – WPBakery Page Builder, que desafortunadamente fue abandonado por su autor antes de recibir un parche para solucionar la grave falla de seguridad que ha sido rastreada como CVE-2021-24284.

Plugin Kaswara Modern WPBakery Page Builder
Plugin Kaswara Modern WPBakery Page Builder

El plugin Kaswara Modern – WPBakery Page Builder presenta una grave falla de seguridad

En concreto, la vulnerabilidad del plugin Kaswara Modern WPBakery Page Builder permite a los atacantes no autenticado pueda inyectar JavaScript malicioso en los sitios web en WordPress sin importar la versión del plugin, esto les permite cargar y eliminar archivos lo que les permitiría tomar el control del sitio.

Cabe mencionar que los investigadores de Defiant, el fabricante de la solución de seguridad Wordfence para WordPress, observaron un promedio de casi medio millón de intentos de ataque por día contra los sitios de los clientes que protegen.

Según los datos de telemetría de Wordfence, los ataques comenzaron el 4 de julio y continúan hasta el día de hoy. Todavía están en curso al menos un promedio de 443,868 intentos por día.

Cómo funciona el ataque

Los atacantes envían una solicitud POST a «wp-admin/admin-ajax/php«, intentando usar la función AJAX «uploadFontIcon» del complemento para cargar una carga maliciosa ZIP que contiene un archivo PHP. Este archivo, a su vez, obtiene el troyano NDSW, que inyecta código en archivos JavaScript legítimos presentes en los sitios de destino para redirigir a los visitantes a destinos maliciosos como sitios de phishing y malware.

Algunos nombres de archivo que usan los atacantes para las cargas ZIP son ‘inject.zip’, ‘king_zip.zip’, ‘null.zip’, ‘plugin.zip’ y ‘***_young.zip’.

Estos archivos o la presencia del “; if(ndsw==” cadena en cualquiera de sus archivos JavaScript indica que ha sido infectado. Si aún usa el complemento Kaswara Modern – WPBakery Page Builder Addons, debe eliminarlo inmediatamente de su sitio de WordPress.

Si no está utilizando el complemento, se le recomienda bloquear las direcciones IP de los atacantes. Para obtener más detalles sobre los indicadores y las fuentes de solicitudes más prolíficas, consulte el blog de Wordfence.

Te recomendamos:

Añade Cultura Informática a tu Feed de Google Noticias Google Noticias