Un nuevo malware de Linux está explotando errores en más de dos docenas de complementos y temas populares de WordPress. Los sitios web objetivo son susceptibles si están utilizando versiones desactualizadas de dichos complementos, sin los parches básicos y cruciales. Esto resulta en inyecciones de código javascript malicioso, cuando los usuarios hacen clic en cualquier área de la página, los redirige a otros sitios.
Según Doctor Web, un proveedor de seguridad ruso, fueron identificadas dos versiones de la puerta trasera. La primera explota 19 complementos y temas diferentes, permitiendo al atacante expandir su red para redirigir los visitantes a un sitio web arbitrario. La segunda version utiliza un nuevo dominio de comando y control (C2) y una lista actualizada de errores y componentes vulnerables, que abarca ahora 11 complementos adicionales.
Esta es la lista de plantillas y plugins afectados en WordPress:
- WP Live Chat Support
- Yuzo Related Posts
- Yellow Pencil Visual CSS Style Editor
- Easy WP SMTP
- WP GDPR Compliance
- Newspaper (CVE-2016-10972)
- Thim Core
- Smart Google Code Inserter (descontinuado desde el 28 de enero de 2022)
- Total Donations
- Post Custom Templates Lite
- WP Quick Booking Manager
- Live Chat with Messenger Customer Chat by Zotabox
- Blog Designer
- WordPress Ultimate FAQ (CVE-2019-17232 and CVE-2019-17233)
- WP-Matomo Integration (WP-Piwik)
- ND Shortcodes
- WP Live Chat
- Coming Soon Page and Maintenance Mode
- Hybrid
- Brizy
- FV Flowplayer Video Player
- WooCommerce
- Coming Soon Page & Maintenance Mode
- Onetone
- Simple Fields
- Delucks SEO
- Poll, Survey, Form & Quiz Maker by OpinionStage
- Social Metrics Tracker
- WPeMatico RSS Feed Fetcher, and
- Rich Reviews
Si una o más vulnerabilidades son explotadas con éxito, la página objetivo se inyectará con un código JavaScript malicioso descargado desde un servidor remoto. Con eso, la inyección se hace de tal manera que cuando la página infectada se cargue, este JavaScript se iniciará primero, independientemente del contenido original de la página. En este punto, cada vez que los usuarios hagan clic en cualquier lugar de la página infectada, serán transferidos al sitio web que los atacantes necesitan que los usuarios visiten.
Gracias por el aviso a Hispasec.
