Una nueva campaña de malware está aprovechando una falla de seguridad de alta gravedad en el complemento Popup Builder de WordPress para inyectar código JavaScript malicioso.
Según Sucuri, la campaña ha infectó más de 3.900 sitios durante las últimas tres semanas.
«Estos ataques se organizan desde dominios de menos de un mes de antigüedad, con registros que se remontan al 12 de febrero de 2024», afirma el investigador de seguridad Puja Srivastava. dicho en un informe del 7 de marzo.
Las secuencias de infección implican la explotación de CVE-2023-6000, una vulnerabilidad de seguridad en Popup Builder que podría explotarse para crear usuarios administradores maliciosos e instalar complementos arbitrarios.
La deficiencia fue explotada como parte de una campaña de Balada Injector a principios de enero, comprometiendo no menos de 7.000 sitios.
El último conjunto de ataques conduce a la inyección de código malicioso, que viene en dos variantes diferentes y está diseñado para redirigir a los visitantes del sitio a otros sitios, como páginas de phishing y estafas.
Se recomienda a los propietarios de sitios de WordPress que mantengan sus complementos actualizados, así como que escaneen sus sitios en busca de códigos o usuarios sospechosos y realicen la limpieza adecuada.
«Esta nueva campaña de malware sirve como un claro recordatorio de los riesgos de no mantener el software de su sitio web parcheado y actualizado», dijo Srivastava.
El desarrollo se produce gracias a la empresa de seguridad de WordPress Wordfence. revelado un error de alta gravedad en otro complemento conocido como Ultimate Member que puede usarse como arma para inyectar scripts web maliciosos.
La falla de secuencias de comandos entre sitios (XSS), rastreada como CVE-2024-2123 (puntuación CVSS: 7.2), afecta a todas las versiones del complemento, incluida la 2.8.3 y las anteriores. Fue parcheado en la versión 2.8.4, lanzada el 6 de marzo de 2024.
La falla se debe a una limpieza de entrada y un escape de salida insuficientes, lo que permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario las visite.
«Combinado con el hecho de que la vulnerabilidad puede ser explotada por atacantes sin privilegios en un sitio vulnerable, esto significa que existe una alta probabilidad de que atacantes no autenticados puedan obtener acceso de usuario administrativo en sitios que ejecutan la versión vulnerable del complemento cuando se explota con éxito. » dijo Wordfence.
Vale la pena señalar que los mantenedores del complemento abordaron una falla similar (CVE-2024-1071, puntuación CVSS: 9.8) en la versión 2.8.3 lanzada el 19 de febrero.
También sigue al descubrimiento de una vulnerabilidad de carga de archivos arbitrarios en el tema Avada WordPress (CVE-2024-1468, puntuación CVSS: 8.8) y posiblemente ejecuta código malicioso de forma remota. Se ha resuelto en la versión 7.11.5.
«Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, carguen archivos arbitrarios en el servidor del sitio afectado, lo que puede hacer posible la ejecución remota de código», Wordfence dicho.