Submitted on Mié, 02/06/2021 - 10:18

 

Se ha detectado en Fancy Product Designer, un plugin de WordPress instalado en más de 17.000 sitios, una vulnerabilidad crítica en la carga de archivos que está siendo explotada cargando malware sobre los sitios que tienen el plugin instalado.

El equipo de inteligencia de amenazas de Wordfence, que descubrió la falla, dijo que reportó el conflicto a los desarrolladores del plugin el 31 de mayo. Si bien se ha hecho conocer la falla, aún no ha sido resuelta.

Fancy Product Designer es una herramienta que permite a los negocios ofrecer productos personalizados, permitiendo a los clientes diseñar cualquier clase de producto, desde poleras hasta estuches de celular, brindando la capacidad de cargar imágenes y archivos en PDF que pueden ser agregados a los productos.

"Desafortunadamente, si bien el plugin realiza algunas verificaciones para prevenir la carga de archivos maliciosos, estas verificaciones fueron insuficientes y pudieron ser fácilmente evitadas, permitiendo a los atacantes cargar archivos PHP ejecutables a cualquier sitio que tenga el plugin instalado", dijo Wordfence en un artículo publicado el día martes, 01 de junio.

Plugin utilizado en sitios web de negocios tiene una vulnerabilidad crítica

Indicadores de compromiso

En la mayoría de los casos, un ataque exitoso resulta en un archivo con un ID único y de extensión PHP, que aparecerá en una subcarpeta:

wp-admin

ó

wp-content/plugins/fancy-product-designer/inc

con la fecha en la que fue cargado el archivo. Por ejemplo:

wp-content/plugins/fancy-product-designer/inc/2021/05/31/4fa00001c720b30102987d980e62d5e4.php

ó

wp-admin/2021/05/31/1d4609806ff0f4e89a3fb5fa35678fa0.php

La mayoría de los ataques en contra de esta vulnerabilidad provienen de las siguientes direcciones IP:

69.12.71.82
92.53.124.123
46.53.253.152
La vulnerabilidad encontrada podría permitir tener el control del sitio

Equipado con esta capacidad, un atacante podría lograr la ejecución remota de código en el sitio web afectado, permitiendo el control total del sitio, hicieron notar los investigadores. Wordfence no ha compartido los detalles técnicos ya que la vulnerabilidad se encuentra bajo ataque activo.

Wordfence anunció que esta vulnerabilidad crítica de día cero podría ser explotada inclusive si se desactiva el plugin desde las configuraciones del sitio, por tanto urge que los usuarios desinstalen completamente Fancy Product Designer hasta que esté disponible una versión parchada.

Esto es de lejos la primera vez que Wordfence ha divulgado problemas severos en plugins de WordPress. En diciembre de 2017, un backdoor (puerta trasera) oculto en el plugin captcha de BestWebSoft fue encontrado afectando a 300.000 sitios web.

Más temprano este año, los investigadores revelaron vulnerabilidades en los plugins Elementor y WP Super Cache que, si fueran explotados exitósamente, podrían permitir ejecutar código arbitrariamente y tomar el control de un sitio en determinados escenarios.

 

Fuente
The Hacker News - https://thehackernews.com/2021/06/hackers-actively-exploiting-0-day-in.html