Un fallo grave de día cero en la última versión del complemento premium WPGateway de WordPress está siendo explotado activamente por ciberdelincuentes. Estos podrían hacerse con el control de miles de sitios afectados.
El equipo de inteligencia de amenazas de Wordfence, proveedor de soluciones de ciberseguridad para sitios web basados en WordPress, ha sido el que ha dado la voz de alarma.
Según ha manifestado, sus expertos han detectado que miles de sitios web están siendo víctimas de ciberataques explotando una vulnerabilidad de día cero en la última versión del plug-in premium de WordPress, WPGateway.
La vulnerabilidad, denominada CVE-2022-3180, se prepara para añadir un usuario malicioso como administrador a los sitios que ejecutan este complemento premium. Y es que este plug-in se utiliza para que los administradores de los sitios web instalen, respalden y clonen extensiones y temas de WordPress desde un único punto centralizado.
De acuerdo con Wordfense, se han bloqueado más de 4,6 millones de ataques que han intentado aprovechar esta vulnerabilidad contra más de 280.000 sitios web en el último mes.
Proliferan las vulnerabilidades en WordPress
Cuando un sitio web se ha visto comprometido aparece un administrador con el nombre de usuario ‘rangex’.
Asimismo, también se ha detectado la presencia de solicitudes a ‘/wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1’ en los registros de acceso. Para los expertos, se trata de una señal de que el sitio web ha sido atacado usando esta vulnerabilidad en WPGateway.
Sin embargo, esto no implica que haya sido una violación exitosa.
Debido a que aún no se ha publicado ningún parche para esta vulnerabilidad, los expertos recomiendan a los usuarios que eliminen el plug-in hasta que se haya resuelto el problema.
No obstante, Wordfence ha anunciado que ha incorporado desde el pasado día 8 a todos sus productos premium una regla al firewall para bloquear este exploit. Una actualización disponible a partir del 8 de octubre para los usuarios de sus productos gratuitos.
La compañía ha dado a conocer esta vulnerabilidad días después de que se conociera otra en otro complemento de WordPress denominado BackupBuddy.
Pero estas dos vulnerabilidades no son las únicas ya que, recientemente, los ciberdelincuentes consiguieron instalar un troyano de acceso remoto, Rekoobe, en el sistema de licencias de extensión de FishPig, proveedor de integraciones de Magento-WordPress.
Con más de 30 millones de sitios web activos, WordPress es uno de los grandes gestores de contenidos web.
