esenfrdeitptru

Ataques al complemento WPGateway de Wordpress explotado activamente

AS-075-2022

Fecha: 14/Sept/2022

Resumen:

El equipo de Wordfence Threat Intelligence advirtió que los sitios de WordPress están atacados activamente con exploits dirigidos a una vulnerabilidad de día cero en el complemento premium de WordPress “WPGateway”, que permite a los administradores simplificar varias tareas, incluida la configuración, la copia de seguridad de sitios y la gestión de temas y complementos desde un panel central.

Acerca de la vulnerabilidad:

Esta falla catalogada como CVE-2022-3180, permite a los atacantes no autenticados agregar un usuario malicioso con privilegios de administrador para controlar completamente los sitios que ejecutan el complemento vulnerable de WordPress.

El cortafuegos de Wordfence ha bloqueado más de 4,6 millones de ataques dirigidos contra al menos 280000 sitios en los últimos 30 días.

Indicadores de compromiso:

Si desea verificar si su sitio web está comprometido en esta campaña de ataques en curso, debe buscar un nuevo usuario con permisos de administrador con el  nombre de usuario rangex .

Adicionalmente, en los registros, las solicitudes a  //wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1  mostrarán que su sitio fue atacado pero no necesariamente comprometido.

Recomendaciones:

Si tiene instalado el complemento WPGateway, le recomendamos que lo elimine de inmediato hasta que haya un parche disponible y que verifique si hay usuarios administradores maliciosos en su panel de WordPress.

Referencia:

https://www.bleepingcomputer.com/news/security/zero-day-in-wpgateway-wordpress-plugin-actively-exploited-in-attacks/