CYBERDELINCUENTES APROVECHAN VULNERABILIDAD DÍA CERO EN POPULAR PLUGIN DE WORDPRESS.
Un grupo de cyberdelincuentes escanea internet en busca de sitios web que ejecuten el plugin Fancy Product Designer con el fin de explotar una vulnerabilidad día cero que permite cargar malware en el sitio web objetivo. Este es un plugin de configuración visual de productos para sitios web en plataformas como WordPress, WooCommerce y Shopify, que permiten a los clientes personalizar productos empleando diversos gráficos y contenido.
El término de vulnerabilidad día cero se refiere a una falla o agujero de seguridad en una pieza de software, hardware o firmware que todavia no ha sido corregida y en la mayoría de los casos es revelada públicamente; en ocasiones esto involucra la explotación activa de estos errores.
La vulnerabilidad, identificada por el especialista Charles Sweethill, es un error de ejecución remota de código (RCE) y es considerada critica: "La version de WordPress es la que se usa en instalaciones de WooCommerce y es vulnerable" menciona el reporte. Cuando se trata de la version de Shopify del complemento, hay probabilidad de que los ataques se bloqueen, dado que Shopify utiliza controles de acceso mas estrictos para los sitios alojados y que se ejecutan en su plataforma.
Un actor de amenazas que haya explotado la vulnerabilidad podría esquivar las comprobaciones de seguridad integradas para limitar la carga de archivos maliciosos, lo que les permitiría implementar archivos PHP ejecutables en los sitios web que usan Fancy Product Designer para tomar el control total de los sistemas vulnerables.
La falla ha sido explotada en escenarios reales, por lo que el reporte no incluye información detallada sobre el método de explotación de esta vulnerabilidad. Aunque solo se conocen un pequeño numero de ataques exitosos, los expertos piden no bajar la guardia ante potenciales campañas de explotación masiva.
Dado que la vulnerabilidad esta bajo explotación activa y se califico como de gravedad critica, se recomienda a los clientes inhabilitar el plugin hasta el lanzamiento de una versión corregida.
