En esta página: [esconder]
Los investigadores de seguridad informaron recientemente una vulnerabilidad en el complemento del Administrador de archivos. Que inicialmente puso en peligro a más de 700,000 Sitios de WordPress. sin embargo, en unos dias, el número de sitios atacados alcanzados 2.6 millón.
Varios atacantes que aprovechan la vulnerabilidad del complemento del administrador de archivos
Según Wordfence (Desafiante) investigadores, múltiples actores de amenazas tienen la culpa por estos ataques, con dos actores de amenazas específicos que son los más exitosos en los exploits. Parece que estos atacantes ahora protegen con contraseña copias vulnerables de un archivo específico., conocido como connector.minimal.php.
El más activo de estos atacantes ha sido identificado como “bajatax”. Que anteriormente ha estado robando credenciales de los sitios de PrestaShop. Los indicadores de compromiso que descubrieron los investigadores incluyen archivos simples que contenían el “bajatax” cuerda. Y modificaciones a los datos del conector vulnerable original.minimal.php. La última línea está diseñada para bloquear a todos los demás atacantes potenciales.. Los investigadores’ Los descubrimientos señalan que estos archivos están siendo utilizados por algunas de las direcciones IP más dinámicas implementadas en los ataques..
A los sitios infectados se les agregará código malicioso. Este código utiliza la API de Telegram para filtrar las credenciales de todos los usuarios que inician sesión en el sitio comprometido.. también, el mismo principio se agrega a la carpeta user.php, que es un archivo principal de WordPress.
El segundo atacante que explota la vulnerabilidad del Administrador de archivos con gran éxito es eliminar un virus específico, feoidasf4e0_index.php, con un hash MD5 de 6ea6623e8479a65e711124e77aa47e4c. Y una puerta trasera insertada por este infector, Wordfence dice en el informe oficial. Este atacante también es una contraseña que protege el connector.mininal.php para intentar bloquear a otros actores de amenazas..
Los investigadores también señalan que la puerta trasera utilizada por este segundo actor se ha utilizado durante muchos años.. sin embargo, se pueden dispersar varias copias en un solo sitio infectado, que conduce a la persistencia si no hay protección presente.
además, una vez que las puertas traseras se hayan instalado correctamente. El atacante los está utilizando para realizar más modificaciones en los archivos centrales de WordPress..
¿Qué debe hacer si ha estado utilizando una versión vulnerable del complemento Administrador de archivos??
El mejor consejo de seguridad es utilizar una herramienta de seguridad para escanear su sitio en busca de malware.. En caso de que descubra que su sitio ha sido comprometido por los ataques descritos en este artículo. Debería considerar limpiar su sitio web antes de hacer cualquier otra cosa..
Si es propietario de un sitio de comercio electrónico, también debes contactar a todos tus usuarios. Hacerles saber que sus credenciales pueden haber sido comprometidas. También puede probar la seguridad general de su sitio web utilizando los consejos que proporcionamos en el artículo siguiente.:
Lea también Cómo probar la seguridad de tu sitio de WordPress