esenfrdeitptru

CVE-2021-25094- Millones de ataques por vulnerabilidad en el plugin Tatsu Builder para WordPress

AS-049-2022

Fecha: 18/May/2022

Resumen:

El equipo de Wordfence Threat Intelligence ha estado rastreando un ataque a gran escala contra una vulnerabilidad de ejecución remota de código en el plugin para WordPress Tatsu Builder(gratuito y premium), que es rastreada por CVE-2021-25094 y fue divulgada públicamente el 24 de marzo de 2022 por un investigador de seguridad independiente.

Versiones comprometidas.

El problema está presente en las versiones vulnerables del complemento Tatsu Builder gratuito y premium. Tatsu Builder es un complemento patentado que no figura en el repositorio de WordPress.org, por lo que no se dispone de recuentos confiables de instalaciones, pero se estima que el complemento tiene entre 20.000 y 50.000 instalaciones.  La versión 3.3.12 contenía un parche parcial, pero no solucionó completamente todos los problemas.

Indicadores de Ataque.

La mayoría de los ataques son de sondeo para determinar la presencia de un complemento vulnerable. Estos pueden aparecer en sus registros con la siguiente cadena de consulta: /wp-admin/admin-ajax.php?action=add_custom_font

La gran mayoría de los ataques son obra de unas pocas direcciones IP. Las 3 principales direcciones IP atacantes han atacado cada una más de 1 millón de sitios: 148.251.183.254, 176.9.117.218, 217.160.145.62.

Indicadores de compromiso.

La carga útil más común es un cuentagotas que se usa para colocar malware adicional ubicado en una subcarpeta con un nombre aleatorio wp-content/uploads/typehub/custom/como wp-content/uploads/typehub/custom/vjxfvzcd.

El cuentagotas suele tener como nombre .sp3ctra_XO.phpy tiene un hash MD5 de 3708363c5b7bf582f8477b1c82c8cbf8.

Tenga en cuenta el punto al principio, ya que indica un archivo oculto, que es necesario para explotar la vulnerabilidad.

Recomendación.

Actualizar a la última versión disponible, que es la 3.3.13.

Referencias:

https://www.wordfence.com/blog/2022/05/millions-of-attacks-target-tatsu-builder-plugin/
https://www.bleepingcomputer.com/news/security/hackers-target-tatsu-wordpress-plugin-in-millions-of-attacks/
https://www.darkreading.com/application-security/50k-wordpress-sites-risk-takeover

Tlp Clear 2023