Miles de sitios web con WordPress vulnerables por error en el plugin Yellow Pencil

Estándar

El plugin Yellow Pencil Visual Theme Customizer se eliminó el lunes pasado del repositorio de WordPress.org debido a un error de escalamiento de privilegios que habría permitido a posibles atacantes actualizar opciones arbitrarias en instalaciones vulnerables.

Más concretamente, después de explotar con éxito la vulnerabilidad, los cibercriminales podrían cambiar el URL del sitio y de la página de inicio con una inyección de SQL no autenticada.

Esto es exactamente lo que sucedió con varios webmasters desafortunados a los que les hackearon los sitios web de WordPress debido a la vulnerabilidad descubierta en el complemento que tiene una base instalada de más de 30,000 sitios web, según se informa AQUÍ, AQUÍ y AQUÍ.

A pesar de que 30,000 sitios web definitivamente no es una cantidad despreciable, lo que hace que esta vulnerabilidad sea aún más interesante es que, según el equipo de investigación de Wordfence, fue explotado por hackers como parte de una campaña más grande dirigida por el mismo grupo de cibercriminales.

Cómo han explicado los investigadores de Wordfence en un post:

Nuevamente estamos viendo puntos en común entre estos intentos de explotación y los ataques a las vulnerabilidades descubiertas recientemente en los plugins Social Warfare, Easy WP SMTP y Yuzo Related Posts. Hasta ahora, las ataques utilizan un script malicioso alojado en un dominio, hellofromhony [.] com, que se resuelve al IP 176.123.9 [.] 53. Esa dirección IP fue utilizada en los otros ataques mencionados. Estamos seguros de que las cuatro campañas de ataque son el trabajo del mismo ciberdelincuente.

El error que habilita los ataques en el caso del plugin Yellow Pencil Visual Theme Customizer está presente en el archivo yellow-pencil.php y es causado por el hecho de que la función yp_remote_get_first () verificará si el parámetro de solicitud yp_remote_get se ha activado cada carga de la página.

Si se comprueba el estado del parámetro, el complemento elevará automáticamente los privilegios de inicio de sesión utilizados para el administrador por el resto de la solicitud HTTP, lo que hace posible que usuarios no autenticados realicen acciones generalmente reservadas solo al administrador del sitio web.

El equipo de desarrollo detrás del plugin WordPress Yellow Pencil Visual Theme Customizer reparó el problema hoy y ahora proporciona un enlace de descarga para aplicar el parche.

WaspThemes, los desarrolladores del plugin, también reconocieron que existen algunos sitios web de WordPress afectados por un ciberataque causados por un problema de seguridad en la herramienta de visualización de visitantes y proporcionan dos procedimientos para solucionarlos:

Primer método:

Restaurar la base de datos de WordPress para copia de seguridad. Este es el método más seguro y rápido. Póngase en contacto con su proveedor de servidor, le ayudarán a hacer una copia de seguridad de su base de datos.

Segundo método:

  1. Inicie sesión en su base de datos de WordPress con phpMyAdmin a través de su panel de control de hosting.
  2. Navegue a la tabla wordpress_options.
  3. Edite las dos primeras filas “siteurl” y “home” de nuevo a su dominio, p. Ej. https://website.com
  4. Haga clic en el nombre de su base de datos en el panel izquierdo de phpMyAdmin y luego haga clic en el botón Buscar a lo largo de la barra superior y busque en todas sus tablas el nombre del dominio malicioso al que su sitio web estaba redireccionando con ’’ en cualquier lado, por ejemplo. %baddomain para encontrar los registros restantes.

En el momento en que se publicó este post, el plugin Yellow Pencil Visual Theme Customizer aún no estaba disponible en el repositorio de WordPress. Pero suponemos que pronto la versión parcheada esté disponible.