Los hackers han atacado sitios de WordPress con una versión obsoleta del plugin LiteSpeed Cache para crear usuarios administradores y tomar el control de los sitios web.
LiteSpeed Cache (LS Cache) se promociona como un complemento de almacenamiento en caché utilizado en más de cinco millones de sitios de WordPress que acelera la carga de páginas, mejora la experiencia del visitante e impulsa el posicionamiento en los motores de búsqueda de Google.
El equipo de seguridad de Automattic, WPScan, observó en abril un aumento de la actividad de los actores de amenazas que buscan y comprometen sitios de WordPress con versiones del plugin anteriores a la 5.7.0.1, que son vulnerables a un fallo de secuencias de comandos en sitios cruzados sin autenticación de gravedad alta (8.8), listado como CVE-2023-40000.
Desde una dirección IP, 94[.]102[.]51[.]144, se han producido más de 1,2 millones de peticiones de sondeo en busca de sitios vulnerables.
WPScan informa de que los ataques utilizan código JavaScript malicioso inyectado en archivos críticos de WordPress o en la base de datos, creando usuarios administradores llamados «wpsupp-user» o «wp-configuser».
Otro signo de infección es la presencia de la cadena «eval(atob(Strings.fromCharCode» en la opción «litespeed.admin_display.messages» de la base de datos.
Una gran parte de los usuarios de LiteSpeed Cache han migrado a versiones más recientes que no están afectadas por CVE-2023-40000, pero un número significativo, hasta 1.835.000, siguen utilizando una versión vulnerable.
Plugin «Targeting Email Subscribers
La posibilidad de crear cuentas de administrador en los sitios de WordPress da a los atacantes un control total sobre el sitio web, lo que les permite modificar el contenido, instalar plugins, cambiar la configuración crítica, redirigir el tráfico a sitios peligrosos, distribuir malware, realizar suplantación de identidad o robar datos de los usuarios.
A principios de esta semana, Wallarm informó de otra campaña dirigida a un plugin de WordPress llamado «Email Subscribers» para crear cuentas de administrador.
Los atacantes están explotando CVE-2024-2876, una vulnerabilidad crítica de inyección SQL con una puntuación de gravedad de 9,8/10 que afecta a las versiones 5.7.14 y anteriores del plugin.
«En los ataques observados, CVE-2024-27956 se utilizó para ejecutar consultas no autorizadas a bases de datos y crear nuevas cuentas de administrador en sitios WordPress vulnerables (por ejemplo, los que empiezan por «xtw»)..» – Wallarm
Aunque «Email Subscribers» es mucho menos popular que LiteSpeed Cache, con un total de 90.000 instalaciones activas, los ataques observados demuestran que los hackers no rehúyen ninguna oportunidad.
Se aconseja a los administradores de sitios WordPress que actualicen los plugins a la última versión, eliminen o desactiven los componentes innecesarios y vigilen la creación de nuevas cuentas de administrador.
En caso de que se confirme un ataque, es obligatorio realizar una limpieza completa del sitio. Este proceso implica eliminar todas las cuentas fraudulentas, restablecer las contraseñas de todas las cuentas existentes y restaurar la base de datos y los archivos del sitio a partir de copias de seguridad limpias.