Administradores falsos y secuencias de comandos entre sitios: los hackers toman por asalto los sitios web de WordPress

Los investigadores de ciberseguridad han advertido de que varios agujeros de seguridad graves en los complementos de WordPress están siendo aprovechados activamente por los atacantes para crear cuentas de administrador falsas.

«Estas vulnerabilidades se encuentran en varios complementos de WordPress y son susceptibles a ataques de secuencias de comandos entre sitios (XSS) almacenadas no autenticadas debido a una limpieza y escape de entradas/salidas insuficientes, lo que permite que los atacantes inyecten scripts maliciosos», informaron los investigadores de Fastly.

Las vulnerabilidades susceptibles a ataques son:

• CVE-2023-6961 (puntuación CVSS: 7.2) — XSS almacenada no autenticada en WP Meta SEO hasta la versión 4.5.12.
• CVE-2023-40000 (puntuación CVSS: 8.3) — XSS almacenada no autenticada en LiteSpeed Cache hasta la versión 5.7.
• CVE-2024-2194 (puntuación CVSS: 7.2) — XSS almacenada no autenticada en WP Statistics hasta la versión 14.5.

Las cadenas de ataque que explotan estas vulnerabilidades implican inyectar una carga útil que apunta a un archivo JavaScript cifrado alojado en un dominio externo. Este archivo crea una nueva cuenta de administrador, implanta una puerta trasera e instala scripts de seguimiento.

Las puertas traseras en PHP se inyectan tanto en archivos de complementos como de temas, mientras que el script de seguimiento envía una solicitud HTTP GET con información del host a un servidor remoto.

WPScan, una empresa de seguridad de WordPress, reveló previamente ataques similares que apuntaban a CVE-2023-40000 para crear cuentas de administrador falsas en sitios vulnerables.

Para mitigar los riesgos de tales ataques, se recomienda a los propietarios de sitios WordPress revisar los complementos instalados, actualizarlos a las últimas versiones y auditar sus sitios en busca de malware o cuentas de administrador sospechosas.