Se abusa del complemento SMTP de WordPress de día cero para restablecer las contraseñas de la cuenta de administrador



Los piratas informáticos están restableciendo las contraseñas de las cuentas de administrador en los sitios de WordPress utilizando una vulnerabilidad de día cero en un popular complemento de WordPress instalado en más de 500.000 sitios. El día cero se utilizó en ataques durante las últimas semanas y se parcheó el lunes. Afecta a Easy WP SMTP, un complemento que permite a los propietarios del sitio configurar los ajustes SMTP para los correos electrónicos salientes de su sitio web.
Según el equipo de Ninja Technologies Network (NinTechNet), Easy WP SMTP 1.4.2 y las versiones anteriores del complemento contienen una función que crea registros de depuración para todos los correos electrónicos enviados por el sitio, que luego almacena en su carpeta de instalación.
"La carpeta del complemento no tiene ningún archivo index.html, por lo tanto, en los servidores que tienen habilitada la lista de directorios, los piratas informáticos pueden encontrar y ver el registro", dijo Jerome Bruandet de NinTechNet. Imagen: NinTechNet Bruandet dice que en los sitios que ejecutan versiones vulnerables de este complemento, los piratas informáticos han estado realizando ataques automatizados para identificar la cuenta de administrador y luego iniciar un restablecimiento de contraseña.
Dado que un restablecimiento de contraseña implica enviar un correo electrónico con el enlace de restablecimiento de contraseña a la cuenta de administrador, este correo electrónico también se registra en el registro de depuración de Easy WP SMTP. Todo lo que los atacantes tienen que hacer es acceder al registro de depuración después de restablecer la contraseña, tomar el enlace de restablecimiento y hacerse cargo de la cuenta de administrador del sitio. Imagen: NinTechNet "Esta vulnerabilidad está actualmente explotada, asegúrese de actualizar lo antes posible a la última versión", advirtió Bruandet a principios de esta semana el lunes.
Los desarrolladores del complemento han solucionado este problema moviendo el registro de depuración del complemento a la carpeta de registros de WordPress, donde está mejor protegido. La versión donde se corrigió este error es Easy WP SMTP 1.4.
4, según el registro de cambios del complemento. Esto marca el segundo día cero descubierto en este complemento muy popular. Se descubrió que se abusaba de un primer día cero en la naturaleza en marzo de 2019, cuando los piratas informáticos usaron una vulnerabilidad SMTP de Easy WP para permitir el registro de usuarios y luego crearon cuentas de administrador de puerta trasera.
La buena noticia es que, en comparación con marzo de 2019, hoy, el CMS de WordPress ha recibido una función de actualización automática incorporada para temas y complementos. Agregada en agosto de 2020, con el lanzamiento de WordPress 5.5, si está habilitada, esta función permitirá que los complementos siempre se ejecuten en la última versión actualizándose, en lugar de esperar a que el administrador presione el botón.
Sin embargo, actualmente no está claro cuántos sitios de WordPress tienen esta función habilitada y cuántos de los más de 500,000 sitios de WordPress están ejecutando la última versión (parcheada) de Easy WP SMTP. Según las estadísticas de WordPress.org, el número no es tan alto, lo que significa que muchos sitios siguen siendo vulnerables a los ataques.
Imagen: ZDNet pags VER GALERIA COMPLETA.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı