Se ha detectado un nuevo Ataque de Cadena de Suministro (supply chain attack) en el que un actor malicioso modificó el código fuente de al menos cinco plugins alojados en WordPress.org para incluir scripts PHP maliciosos que crean nuevas cuentas con privilegios administrativos en los sitios web que los ejecutan.
El Ataque de Cadena de Suministro (supply chain attack) fue descubierto ayer por el WordPress.org Plugin Review Team, pero las inyecciones maliciosas parecen haber ocurrido hacia finales de la semana pasada, entre el 21 y el 22 de junio.
Tan pronto como Wordfence descubrió la brecha, la compañía notificó a los desarrolladores de los plugins, lo que resultó en la publicación de parches ayer para la mayoría de los productos.
En conjunto, los cinco plugins han sido instalados en más de 35,000 sitios web:
- Social Warfare 4.4.6.4 a 4.4.7.1 (arreglado en la versión 4.4.7.3)
- Blaze Widget 2.2.5 a 2.5.2 (arreglado en la versión 2.5.4)
- Wrapper Link Element 1.0.2 a 1.0.3 (arreglado en la versión 1.0.5)
- Contact Form 7 Multi-Step Addon 1.0.4 a 1.0.5 (arreglado en la versión 1.0.7)
- Simply Show Hooks 1.2.1 a 1.2.2 (aún no hay arreglo disponible)
Wordfence señala que no sabe cómo el actor malicioso logró acceder al código fuente de los plugins, pero se está llevando a cabo una investigación al respecto.
Aunque es posible que este Ataque de Cadena de Suministro afecte a un mayor número de plugins de WordPress, la evidencia actual sugiere que la vulnerabilidad está limitada al conjunto mencionado de cinco plugins.
Operación de puerta trasera e indicadores de compromiso (IoCs)
El código malicioso en los plugins infectados intenta crear nuevas cuentas de administrador e inyectar spam de SEO en el sitio web comprometido.
«En esta etapa, sabemos que el malware inyectado intenta crear una nueva cuenta de usuario administrativo y luego envía esos detalles al servidor controlado por el atacante«, explica Wordfence.
«Además, parece que el actor de la amenaza también inyectó JavaScript malicioso en el pie de página de los sitios web que parece agregar spam de SEO en todo el sitio web«.
Los datos se transmiten a la dirección IP 94.156.79[.]8, mientras que las cuentas de administrador creadas arbitrariamente se nombran «Options» y «PluginAuth», dicen los investigadores.
Los propietarios de sitios web que noten tales cuentas o tráfico a la dirección IP del atacante deben realizar un escaneo completo de malware y una limpieza.
«Si tienes alguno de estos plugins instalados, debes considerar tu instalación comprometida e inmediatamente entrar en modo de respuesta a incidentes.» – Wordfence.
Wordfence señala que algunos de los plugins afectados fueron temporalmente eliminados de WordPress.org, lo que puede resultar en advertencias para los usuarios, incluso si utilizan una versión parcheada.
