El equipo de Wordfence Threat Intelligence advierte que los sitios de WordPress están sufriendo ataques con exploits dirigidos a una vulnerabilidad de día cero en el complemento WPGateway.
WPGateway es un complemento premium vinculado al servicio en la nube WPGateway, que ofrece a sus usuarios una forma de configurar y administrar sitios de WordPress desde un único panel.
Esta falla crítica de seguridad de escalada de privilegios (CVE-2022-3180) permite a los atacantes no autenticados agregar un usuario malicioso con privilegios de administrador para controlar completamente los sitios que ejecutan el complemento vulnerable de WordPress.
Para determinar si un sitio está comprometido con esta vulnerabilidad, el indicador más común de compromiso es un administrador malicioso con el nombre de usuario de rangex. Si este usuario se encuentra agregado al tablero, significa que el sitio ha sido comprometido.
Indicadores de compromiso
Además, se puede consultar los registros de acceso del sitio por medio de solicitudes de búsqueda para
//wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1
Si las solicitudes están presentes en el registro, es un indicador de que el sitio ha sido atacado mediante un exploit dirigido a esta vulnerabilidad, pero no necesariamente indican que el sitio se haya comprometido con éxito.
Recomendaciones
Para el caso de clientes de Wordfence Premium, Wordfence Care y Wordfence Response existe una regla de firewall recibida el 8 de septiembre de 2022 que los protege contra esta vulnerabilidad, mientras que para los sitios que utilizan la versión gratuita de Wordfence, se recibirá la misma protección el 8 de octubre de 2022.
Si tiene instalado el complemento WPGateway, es recomendable eliminarlo de inmediato hasta que haya un parche disponible y verificar si hay usuarios administradores maliciosos en el panel de WordPress.
Referencias: