Detectados ataques contra el plugin de WordPress Abandoned Cart

22 marzo, 2019
19 Compartido 2,665 Visualizaciones

Se han detectado ataques contra webs que utilizan versiones sin actualizar del plugin para WordPress Abandoned Cart para WooCommerce, utilizado para ayudar a los administradores web a analizar y recuperar ventas cuando los compradores abandonan la cesta de la compra.

Según una entrada de blog, escrita por Mikey Veenstra de la empresa de firewall para WordPress Defiant (anteriormente Wordfence), el ataque del tipo cross-site scripting (XSS) se aprovecha de una vulnerabilidad de la versión 5.1.3.

Tanto la versión de pago como la gratuita se ven afectadas. La vulnerabilidad instala dos puertas traseras que comprometen la página web, la segunda realiza un backup de sí misma  para el caso en el  que el administrador detecte y desactive la primera.

Para realizar el ataque se crea un carro que contiene información de contacto falsa para abandonarlo a continuación. Cuando el administrador ve los datos que contienen esos campos, un fallo en la verificación de la salida hace que los campos nombre_factura y apellido_factura se conviertan en un único campo de cliente que forma un payload inyectado en Javascript.

Este payload utiliza la sesión de administrador para implementar las puertas traseras, comenzando por crear una cuenta de administrador falsa, utilizando un iframe oculto que activa la creación de una nueva cuenta y enviando en caso de éxito una notificación mediante una conexión de comando y control al atacante.

La segunda puerta trasera se añade abriendo otro iframe en el menú de plugins, el cual escanea en busca de cualquiera enlace “activar” que indique que están inactivos. Esto se inyecta con un script PHP de puerta trasera y permanece inactivo hasta que los atacantes deciden activarlo.

¿Cuántas webs han sido atacadas?

En una entrevista con ZDNet, Veenstra dijo que Defiant había detectado 5.251 accesos a un enlace bit.ly asociado con los ataques.

Eso hace que sea complicado acertar el numero, ya que puede variar entre unos cientos y varios miles de las más de 20.000 veces que se descargó el plugin.

Saber cuántos ataques han tenido éxito se complica aún más ya que Defiant, solo los detecta cuando los repele utilizando el Wordfence firewall. Lo mismo ocurre con el objetivo del atacante al realizar esos ataques, el cual no ha podido ser determinado por el momento.

¿Qué hacer?

La vulnerabilidad se solucionó el 18 de febrero con la versión 5.2.0. Cualquiera que utilice ese plugin debe actualizar inmediatamente a esa versión, o cualquier otra posterior.

Sin embargo, según Defiant, esto no soluciona la puerta trasera secundaria que afecta al plugin inactivo. La recomendación de la empresa es que se escanee todas las bases de datos en busca de posibles inyecciones y,  una vez completada la búsqueda, comprobar también que no existe ninguna cuenta de administrador no autorizada.

Como en otros incidentes con plugins/WordPress, mantener la actualizaciones al día siempre es importante.

Un informe reciente de Securi afirma que el mayor problema para la mayoría de los CMS son los plugins, temas y extensiones, que tienden a ser instalados y no ser actualizados lo suficiente.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

La empresa española Enigmedia, ganadora del programa de innovación para startups de Kaspersky
Actualidad
2 compartido783 visualizaciones
Actualidad
2 compartido783 visualizaciones

La empresa española Enigmedia, ganadora del programa de innovación para startups de Kaspersky

Alicia Burrueco - 30 octubre, 2019

Kaspersky ha anunciado los nombres de las cuatro startups tecnológicas ganadoras de la ronda final de su programa de innovación,…

5 claves para utilizar Zoom de forma segura durante el teletrabajo
Actualidad
6 compartido1,443 visualizaciones
Actualidad
6 compartido1,443 visualizaciones

5 claves para utilizar Zoom de forma segura durante el teletrabajo

Aina Pou Rodríguez - 7 abril, 2020

Contar con la última versión actualizada, utilizar contraseña y aplicar las funcionalidades de seguridad y gestión de participantes, para garantizar…

Cómo funciona GandCrab, el ransomware que en dos meses tiene más de 50.000 víctimas
Actualidad
28 compartido2,360 visualizaciones
Actualidad
28 compartido2,360 visualizaciones

Cómo funciona GandCrab, el ransomware que en dos meses tiene más de 50.000 víctimas

Vicente Ramírez - 29 marzo, 2018

Distribuido en la DarkNet por un supuesto desarrollador ruso, GandCrab ofrece a los ciberdelincuentes poco cualificados la oportunidad de hacer campañas…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.