Cientos de miles de sitios web están sufriendo ciberataques en los últimos días gracias a un exploit que permite explotar una vulnerabilidad ‘zero day’, según ha detectado el equipo de ‘threat intelligence’ (inteligencia de amenazas) de la compañía Wordfence, un proveedor de soluciones de ciberseguridad para sitios web basados en WordPress, el CMS o gestor de contenidos web más usado de Internet (con más de 30 millones de sitios en activo).
Si los logs de la web muestran accesos a ‘/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1’, significa que la web ha sido atacada, pero no necesariamente que esté comprometida
El pasado día 8 de septiembre de 2022, descubrieron que varios de los intentos de intrusión frenados por su cortafuegos para sitios WordPress buscaban explotar una vulnerabilidad que afectaba a un complemento premium de dicho CMS, WPGateway, que permite a los administradores simplificar algunas tareas de gestión del sitio, centralizando en un mismo panel la administración de temas, complementos y copias de seguridad.
Concretamente, su cortafuegos había frenado 4,6 millones de intentos de intrusión en aproximadamente 280.000 sitios web sólo a lo largo de los 30 días previos.
La vulnerabilidad en cuestión permite que los atacantes, pese a carecer de datos de acceso, agregar un usuario malicioso con privilegios de administrador al sitio web, lo que les permite tomar el control total del sitio web. Dicho administrador recibe siempre el nombre de ‘rangex’, por lo que si tienes instalado WPGateway, deberías asegurarte de no tener un usuario recientemente añadido con dicho nombre.