En las últimas semanas se ha detectado una nueva campaña que ataca una vulnerabilidad en el plug-in de Wordpress ‘Popup Builder’ e instala código malicioso. Afecta a la versión 4.2.3 y anteriores, y ya existe una actualización –la 4.2.7– que soluciona este problema de seguridad.
Desde Sucuri Security Platform explican que el objetivo más recurrente de estos ataques es redirigir a los visitantes de los sitios infectados a destinos maliciosos, como páginas de phishing y sitios de lanzamiento de malware. Los escáneres de esta compañía de seguridad detectaron 1.170 infecciones, mientras que desde el buscador de códigos PublicWWW, los resultados indican que son 3.329 los sitios de WordPress afectados.
Se trata del repunte del ataque a una falla que se divulgó en enero de este año e indica que muchos administradores de sitios no habían descargado la nueva versión lo suficientemente rápido. La campaña predecesora afectó a más de 6.700 sitios con el malware Balada Injector.
La vulnerabilidad que aprovechan estos ataques se rastrea como CVE-2023-6000, una falla de secuencias de comandos entre sitios (XSS). Infectan las secciones JavaScript personalizado o CSS personalizado de la interfaz de administración de WordPress, mientras que el código malicioso se almacena dentro de la tabla de la base de datos 'wp_postmeta', detallan desde BleepingComputer.
Existe un elevado riesgo de ataque debido a que, según el propio WordPress, al menos 80.000 sitios activos utilizan actualmente Popup Builder 4.1 y versiones anteriores.
Qué hacer en caso de infección
Los especialistas de Sucuri recomiendan eliminar la inyección maliciosa de la sección “JS o CSS personalizado” del generador de ventanas emergentes en la interfaz de administración de WordPress. Una vez hecho esto, escanear el sitio web a nivel de cliente y servidor para encontrar puertas traseras ocultas y eliminarlas. Realizada esta limpieza, es importante actualizar inmediatamente el complemento Popup Builder a la última versión para protegerse de este malware.
“Esta infección masiva resalta la importancia de actualizar rápidamente sus complementos y temas de WordPress, junto con cualquier otro software de sitio web en su entorno. Aquellos que no pueden aplicar actualizaciones automáticas o parchear rápidamente la última versión deberían considerar el uso de un firewall de aplicaciones web para parchear virtualmente cualquier vulnerabilidad conocida”, señalan desde el blog de Sucuri.