Gracias a los investigadores de seguridad, se ha descubierto que el plugin Kaswara Modern – WPBakery Page Builder pone en riesgo a sitios web que hacen uso de la plataforma WordPress. La falla de seguridad de este complemento es que permite al atacante poder cargar archivos sin autenticación, los atacantes se han dado a la tarea de rastrear aproximadamente 1,6 millones de sitios web en busca del complemento.
Actualmente los atacantes tienen como objetivo el plugin Kaswara Modern – WPBakery Page Builder, que desafortunadamente fue abandonado por su autor antes de recibir un parche para solucionar la grave falla de seguridad que ha sido rastreada como CVE-2021-24284.
El plugin Kaswara Modern – WPBakery Page Builder presenta una grave falla de seguridad
En concreto, la vulnerabilidad del plugin Kaswara Modern WPBakery Page Builder permite a los atacantes no autenticado pueda inyectar JavaScript malicioso en los sitios web en WordPress sin importar la versión del plugin, esto les permite cargar y eliminar archivos lo que les permitiría tomar el control del sitio.
Cabe mencionar que los investigadores de Defiant, el fabricante de la solución de seguridad Wordfence para WordPress, observaron un promedio de casi medio millón de intentos de ataque por día contra los sitios de los clientes que protegen.
Según los datos de telemetría de Wordfence, los ataques comenzaron el 4 de julio y continúan hasta el día de hoy. Todavía están en curso al menos un promedio de 443,868 intentos por día.
Cómo funciona el ataque
Los atacantes envían una solicitud POST a «wp-admin/admin-ajax/php«, intentando usar la función AJAX «uploadFontIcon» del complemento para cargar una carga maliciosa ZIP que contiene un archivo PHP. Este archivo, a su vez, obtiene el troyano NDSW, que inyecta código en archivos JavaScript legítimos presentes en los sitios de destino para redirigir a los visitantes a destinos maliciosos como sitios de phishing y malware.
Algunos nombres de archivo que usan los atacantes para las cargas ZIP son ‘inject.zip’, ‘king_zip.zip’, ‘null.zip’, ‘plugin.zip’ y ‘***_young.zip’.
Estos archivos o la presencia del “; if(ndsw==” cadena en cualquiera de sus archivos JavaScript indica que ha sido infectado. Si aún usa el complemento Kaswara Modern – WPBakery Page Builder Addons, debe eliminarlo inmediatamente de su sitio de WordPress.
Si no está utilizando el complemento, se le recomienda bloquear las direcciones IP de los atacantes. Para obtener más detalles sobre los indicadores y las fuentes de solicitudes más prolíficas, consulte el blog de Wordfence.
Te recomendamos:
