El pasado día 8 de septiembre de 2022, descubrieron que varios de los intentos de intrusión frenados por su cortafuegos para sitios WordPress buscaban explotar una vulnerabilidad que afectaba a un complemento premium de dicho CMS, WPGateway, que permite a los administradores simplificar algunas tareas de gestión del sitio, centralizando en un mismo panel la administración de temas, complementos y copias de seguridad.
Concretamente, su cortafuegos había frenado 4,6 millones de intentos de intrusión en aproximadamente 280.000 sitios web sólo a lo largo de los 30 días previos. La vulnerabilidad en cuestión permite que los atacantes, pese a carecer de datos de acceso, agregar un usuario malicioso con privilegios de administrador al sitio web, lo que les permite tomar el control total del sitio web. Dicho administrador recibe siempre el nombre de ‘rangex’, por lo que si tienes instalado WPGateway, deberías asegurarte de no tener un usuario recientemente añadido con dicho nombre.
Si los logs de la web muestran accesos a ‘/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1’, significa que la web ha sido atacada, pero no necesariamente que esté comprometida
-¿Cómo podemos solucionarlo?
Pero el problema no desaparece sólo con suprimir al citado usuario malicioso, pues puede volver a ser creado utilizando la misma técnica. Ram Gall, analista de Wordfence, nos insta, directamente, a eliminar el plugin «hasta que haya un parche disponible», lo cual aún no sabemos cuándo ocurrirá.
Wordfence, por su parte, ha anunciado que desde el día 8 ha incorporado a sus productos premium una regla de firewall que bloquea dicho exploit (si eres usuario de sus productos gratuitos, deberás esperar hasta el día 8 de octubre para tener acceso a esta actualización).
Además, la compañía se ha reservado detalles sobre el funcionamiento del exploit para dar tiempo a que los desarrolladores del plugin desarrollen su producto antes de que otros ciberdelincuentes desarrollen sus propias alternativas y se unan a los ataques.