tagDiv se convierte en la puerta de entrada de ciberamenazas a sitios de WordPress

La ciberseguridad de más de un millar de sitios web de WordPress se ha puesto en jaque después de que una nueva amenaza haya accedido mediante el complemento tadDiv Composer. Se trata de una herramienta imprescindible para poder utilizar los temas Newspaper y Newsmag, por lo que los hackers habrían aprovechado su vulnerabilidad para acceder y sustraer datos sensibles y confidenciales de diferentes entidades.

Estos dos temas de WordPress se encuentran disponibles en los mercados de Envato y Theme Forest, contando con más de 155.000 descargas. La vulnerabilidad de tagDiv, registrada como CVE-2023-3169, es una falla de secuencias de comandos entre sitios (XSS) que permite a los piratas informáticos inyectar código malicioso.

Ha sido descubierta por el investigador vietnamita Truoc Phan y posee una clasificación de gravedad de 7.1 sobre 10 posible. Es cierto que se solucionó parcialmente en la versión de 4.1 de tagDiv Composer, lográndose su parcheo completo en la versión 4.2 con gran éxito y eficacia.

Cada vez es más común que los piratas informáticos aprovechen las vulnerabilidades, aparentemente invisibles, de millones de páginas web para inyectar scripts web que redirigirán a los visitantes a sitios fraudulentos para sustraerles sus datos personales. Suelen ser páginas que brindan un soporte técnico falso, premios de lotería fraudulentos o simplemente estafas con notificaciones automáticas para pedirles que se suscriban a determinados contenidos.  Para ello, emplean cuadros de diálogo captcha falsos.

El análisis riguroso de las vulnerabilidades

La empresa de seguridad Sucuri ha analizado la campaña de malware desde 2017 bautizándola como Balada. Este proyecto habría tumbado y comprometido más de un millón de sitios web en solo seis años, registrándose tan solo en septiembre de 2023 un total de 17.000 sitios afectados, casi el doble que en agosto. Más de 9.000 nuevas infecciones fueron posibles a través de CVE-2023-3169. En sus orígenes se pensaba que únicamente se dirigía a Linux de 32 y 64 bits.

Los ataques están evolucionando y se están perfeccionando, pues los scripts inyectados cuentan con nuevas técnicas y nuevos modelos de ofuscación, así como un abuso de CloudFlare para atacar a los administradores de los sitios web de WordPress. Y es que en septiembre, tagDiv Newspaper sufrió, por parte de Balada Injector, numerosos ataques al componente tagDiv Composer.

Balada siempre actúa intentando tener un control constante y absoluto de los sitios web. Inyecta scripts que a su vez crean cuentas con privilegios de administrador. De este modo, podrán eliminar los scripts de redireccionamiento, pero se mantendrán las cuentas de administrador falsas y se generarán scripts de redireccionamiento malicioso.

Esa nueva inyección maliciosa se sirve de un código ofuscado para que su detección sea casi imperceptible. Suelen aparecer en la base de datos utilizada por los sitios web de WordPress, especialmente en ‘td_live_css_local_storage’ de la tabla wp_options. Balada busca controlar plenamente los sitios que presentan vulnerabilidades XSS almacenadas.

La principal recomendación

Cualquier usuario que administre un sitio web de WordPress con los temas WordPress Newspaper o Newsmag deberá inspeccionar cuidadosamente el sitio y los registros de eventos para detectar signos de infección, utilizando para ello indicadores de compromiso. De este modo, será necesario verificar el código y la adición de cuentas de administrador.

Desde tagDiv se ha recomendado actualizar la herramienta e instalar complementos de seguridad como Wordfence. También se insta a sustituir las contraseñas de acceso como un método 100% eficaz.

Casos recientes de vulnerabilidades en WordPress

En abril se detectó una vulnerabilidad presente en un plugin de WordPress que puso en riesgo a millones de sitios web creados. Elementor Pro, que permite otorgar un carácter profesional al sitio web creado, presentó una vulnerabilidad importante.

El error se detectó en la versión Premium del plugin y para su explotación se requiere de WooCommerce habilitado en el sitio web. Así pues, se permitirá el acceso inminente a la página de registro, sin oposición alguna, y un actor malicioso puede proceder a crear una cuenta con privilegios de administrador.

La vulnerabilidad fue descubierta por Jerome Bruandet el pasado 18 de marzo en la versión 3.11.6 (y anteriores) de Elementor Pro. Dicha vulnerabilidad ha sido explotada de forma activa, por lo que la recomendación no fue otra que instalar una corrección cuanto antes. Dicha solución se encuentra presente en Elementor Pro 3.11.7, que se encuentra disponible desde el pasado 22 de marzo de 2023.

La entrada tagDiv se convierte en la puerta de entrada de ciberamenazas a sitios de WordPress es original de MuySeguridad. Seguridad informática.