Alerta de seguridad
Nivel de peligrosidad: Alto
Descripción
La empresa de seguridad Wordfence ha revelado que existen 2 fallos de seguridad de tipo Zero-Day (Día Cero) en 2 plugins (complementos) que están siendo explotados activamente por cibercriminales, estos plugin son BackupBuddy y WPGateway.
1. BackupBuddy permite realizar una copia de seguridad de toda la información de WordPress, incluye tableros, archivos de temas, páginas, publicaciones, widgets, información de usuarios, archivos multimedia, etc. La vulnerabilidad clasificado con el fallo CVE-2022-31474 (CVSS de 7.5), permite que usuarios no autenticados descarguen archivos arbitrarios del sitio que puede incluir información confidencial.
2. WPGateway es un medio para que los administradores del sitio instalen, respalden y clonen complementos y temas de Wordpress desde un tablero unificado, el indicador de que el sitio a sido comprometido es la presencia de un usuario administrador con el nombre de “rangex”, además de la aparición de solicitudes al enlace "/wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1" aunque no implica una explotación exitosa.
La vulnerabilidad en el plugin identificado como CVE-2022-3180, se encuentra en su última versión y permite a actores malintencionados apoderarse por completo de los sitios.
Recursos afectados
- Plugin BackupBuddy 8.5.8.0 a 8.7.4.1.
- Plugin WPGateway en la última versión.
Solución/Mitigación
En el caso del plugin BackupBuddy actualizar a la versión 8.7.5 o superior.
En el caso del plugin WPGateway al no existir un parche, se recomienda eliminar el plugin de sus instalaciones hasta que haya una solución disponible.
Indicadores de compromiso
Para verificar si su sitio está comprometido a estas vulnerabilidades debe realizar los siguientes pasos:
En el caso de BackupBuddy, verificar si tiene instalada una de las versiones afectadas, en caso de ser así, verificar si se ha generado logs de copias de copias de seguridad.
En el caso de WPGateway, verificar si se tiene instalado el plugin, encaso de ser así desinstalarlo hasta que exista un parche.
Verificar si existe un usuario administrador con el nombre “rangex” o solicitudes al enlace "//wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1"
Recomendaciones
Verificar si tiene instalados los plugins descritos y en caso de ser así realizar los pasos de apartado Solución/Mitigación.
Referencias
Exploit Zero Day en plugin BackupBuddy de WordPress
Exploit Zero Day CVE-2022-31474 BackupBuddy