Más de 280,000 sitios de WordPress han sido atacados mediante vulnerabilidad Zero Day en el plugin WPGateway

Una vulnerabilidad de día cero en la última versión de un plugin premium de WordPress conocido como WPGateway se está explotando activamente en la naturaleza, lo que podría permitir que los hackers se apoderen completamente de los sitios web afectados.

Rastreada como CVE-2022-3180 (puntaje CVSS: 9.8), la vulnerabilidad se está armando para agregar un usuario administrador malicioso a los sitios que ejecutan el complemento WPGateway, dijo la compañía de seguridad de WorDPress, Wordfence.

«Parte de la funcionalidad del complemento expone una vulnerabilidad que permite a los atacantes no autenticados insertar un administrador malicioso», dijo Ram Gall, investigador de Wordfence.

WPGateway se factura como un medio para que los administradores del sitio instalen, respalden y clonen plugins y temas de WordPress desde un tablero unificado.

El indicador más común de que un sitio web que ejecuta el plugin se ha visto comprometido es la presencia de un administrador con el nombre de usuario «rangex».

Además, la aparición de solicitudes a «/wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1» en los registros de acceso es una señal de que el sitio de WordPress ha sido atacado usando la vulnerabilidad, aunque no implica de forma necesaria una violación exitosa.

Wordfence dijo que bloqueó más de 4.6 millones de ataques que intentaron aprovechar la vulnerabilidad contra más de 280,000 sitios en los últimos 30 días.

Se retuvieron más detalles sobre la vulnerabilidad debido a la explotación activa y para evitar que otros atacantes se aprovechen de la deficiencia. En ausencia de un parche, se recomienda a los usuarios que eliminen el plugin de sus instalaciones de WordPress hasta que haya una solución disponible.

El desarrollo se produce días después de que Wordfence advirtiera sobre el abuso en la naturaleza de otra vulnerabilidad de día cero en un plugin de WordPress llamado BackupBuddy.

La divulgación también llega cuando Sansec reveló que los atacantes irrumpieron en el sistema de licencias de extensión de FishPig, un proveedor de integraciones populares de Magento-WordPress, para inyectar un código malicioso diseñado para instalar un troyano de acceso remoto llamado Rekoobe.


Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180192143715428 Nombre: Masterhacks LATAM Banco: STP

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *