5.6 C
Madrid
viernes, diciembre 13, 2024
spot_img

Los sitios de WordPress fueron retrocedidos después del ataque a la cadena de suministro FishPig

Solo ha pasado una semana y aparentemente hay al menos tres vulnerabilidades críticas en los complementos y herramientas de WordPress que actualmente se están explotando para comprometer toneladas de sitios web.

Comenzaremos con FishPig, un fabricante de software con sede en el Reino Unido que integra la suite de comercio electrónico Magento de Adobe con sitios web basados ​​en WordPress. Los sistemas de distribución de FishPig se vieron comprometidos y sus productos se modificaron para que las instalaciones del código descargaran y ejecutaran semiautomáticamente el troyano Rekoobe Linux.

El equipo de seguridad de la información, Sansec, hizo sonar la alarma esta semana de que el software de FishPig se estaba comportando de manera extraña: cuando un empleado de Magento que inició sesión visitó el panel de control de una implementación, el código buscó y ejecutó automáticamente un binario de Linux que resultó ser de los sistemas back-end de FishPig de Rekoobe. . Esto abriría una puerta trasera que permitiría a los delincuentes controlar la caja de forma remota.

Después de eso, los delincuentes podrían espiar a los clientes, alterar o robar datos, etc.

Según la divulgación de FishPig, sus productos se modificaron el 6 de agosto y desde entonces se eliminó el código infractor. Nos dijeron que principalmente las versiones pagas se vieron afectadas. Las versiones gratuitas de los módulos FishPig disponibles en GitHub probablemente estaban limpias.

Si está utilizando el software comercial de FishPig, debe reinstalar las herramientas y buscar signos de compromiso.

Según FishPig, “es mejor asumir que todos los módulos pagos de FishPig Magento 2 han sido infectados”. No se sabe exactamente cuántos clientes estuvieron involucrados en el ataque a la cadena de suministro, aunque Sansec dijo que los paquetes gratuitos de Magento de la compañía se descargaron más de 200.000 veces en total. Eso no significa necesariamente que haya un número comparable de usuarios pagos, pero te da una idea del interés en las herramientas de FishPig.

Si bien no se sabe exactamente cómo los atacantes irrumpieron en los servidores back-end de FishPig, el resultado fue claro: se agregó código al archivo License.php en los sistemas de FishPig que sus productos recuperarían y ejecutarían cuando se usaran. Este archivo PHP ha sido modificado para descargar y ejecutar un binario malicioso, también alojado en la plataforma de FishPig. Ergo, un usuario del personal accede al panel de control de su implementación de FishPig, el License.php modificado y alojado de forma remota se obtiene y ejecuta, y esto es lo que Rekoobe ejecuta automáticamente en el servidor web del usuario.

License.php generalmente verifica que la implementación esté debidamente pagada y con licencia, razón por la cual se hace referencia a él de manera rutinaria.

Una vez que Rekoobe infecta un host, elimina sus archivos y permanece oculto como un proceso en la memoria, esperando comandos de una sola dirección IP ubicada geográficamente en Letonia. Sansec dijo que espera que el autor intelectual de esta travesura venda el acceso a servidores comprometidos a través de este ataque a la cadena de suministro.

Rekoobe ha estado circulando en Internet de varias formas desde su descubrimiento en 2015. La variante de Rekoobe utilizada en este ataque parece haber sido escrita no antes de 2018, según el análisis de Intezer.

Según Intezer, las versiones más nuevas de Rekoobe muestran direcciones de servidor C2 codificadas e intentan cambiar el nombre de su propio proceso, como es el caso en esta instancia de FishPig.

Las empresas de comercio electrónico que ejecutan complementos o integraciones de FishPig, gratuitos o de pago, deben seguir las medidas de detección y mitigación prescritas por la empresa. FishPig dijo que los clientes afectados también pueden comunicarse con «un servicio de limpieza gratuito para cualquier persona preocupada por si esto está afectando su sitio y necesita ayuda para resolverlo».

Pero espera hay mas

Además, Wordfence informa este mes que un complemento de WordPress llamado BackupBuddy estaba bajo ataque activo con un estimado de 140,000 instalaciones. El software tiene una vulnerabilidad corregida en la versión 8.7.5 que podría aprovecharse para descargar archivos, incluida información confidencial, de instalaciones vulnerables.

Wordfence también dijo esta semana que se está explotando una vulnerabilidad de día cero en un complemento llamado WPGateway para agregar cuentas de administrador maliciosas a sitios web vulnerables. Todavía no tenemos conocimiento de un parche que esté disponible para esto. ®

Artículos relacionados

Dejar respuesta

Please enter your comment!
Please enter your name here

- Anuncio -spot_img

Últimos artículos

3,913SeguidoresSeguir
0suscriptoresSuscribirte