Plataformas de sistemas de gestión de contenidos – CMS - afectadas por botnet kashmirblack (6/noviembre/2020)﷯ Una botnet activa que comprende cientos de miles de sistemas secuestrados distribuidos en 30 países está explotando «docenas de vulnerabilidades conocidas» para atacar sistemas de administración de contenido (CMS) ampliamente utilizados como: WordPress, Joomla!, PrestaShop, Magneto, Drupal, Vbulletin, OsCommerence, OpenCart y Yeager. La botnet denominada KashmirBlack comenzó a operar en noviembre de 2019 y hoy en día, es "administrado por un servidor C&C (Command and Control) y utiliza más de 60 servidores, en su mayoría sustitutos inocentes, como parte de su infraestructura", según los investigadores de seguridad de Imperva. El propósito principal de la botnet parece ser infectar sitios web y luego usar sus servidores para la minería de criptomonedas, redirigiendo el tráfico legítimo de un sitio a páginas de spam y en menor grado, mostrando desfiguraciones web. KashmirBlack se expande escaneando Internet en busca de sitios que usen software desactualizado y luego usando exploits en busca de vulnerabilidades conocidas para infectar el sitio y su servidor subyacente. Desde noviembre de 2019, Imperva dice que ha visto a la botnet abusar de 16 vulnerabilidades entre las que se tiene: • Ejecución remota de código PHPUnit - CVE-2017-9841 • Vulnerabilidad de carga de archivos jQuery - CVE-2018-9206 • Inyección de comandos ELFinder - CVE-2019-9194 • Joomla! vulnerabilidad de carga remota de archivos • Inclusión de archivos locales de Magento - CVE-2015-2067 • Vulnerabilidad de carga de formularios web de Magento • CMS Plupload Carga arbitraria de archivos • Vulnerabilidad de Yeager CMS - CVE-2015-7571 • Varias vulnerabilidades, incluida la carga de archivos y RCE para muchos complementos en múltiples plataformas. • Vulnerabilidad RFI de WordPress TimThumb - CVE-2011-4106 • Vulnerabilidad Uploadify RCE • Widget de vBulletin RCE - CVE-2019-16759 • WordPress install.php RCE • Ataque de fuerza bruta de inicio de sesión de WordPress xmlrpc.php • Complementos múltiples de WordPress RCE • WordPress Multiple Themes RCE • Vulnerabilidad de carga de archivos Webdav Algunos exploits atacan el propio CMS, mientras que otros atacan algunos componentes internos y bibliotecas, por lo que es recomendable se actualicen las plataformas de sistemas de gestión de contenidos que actualmente estén desactualizadas o de ser el caso se implementen controles compensatorios orientados a evitar ser parte de la botnet KashmirBlack. Referencias  Cecilia Coria (2020, octubre 28), KashmirBlack botnet detrás de ataques a CMS como WordPress, Joomla, Drupal, otros. Recuperado 30 de octubre de 2020 de https://seguridad.cicese.mx/noticia/1366/KashmirBlack-botnet-detr%C3%A1s-de-ataques-a-CMS-como-WordPress,-Joomla,-Drupal,-otros .  Catalin Cimpanu (2020, octubre 26) KashmirBlack botnet behind attacks on CMSs like WordPress, Joomla, Drupal, others. Recuperado 30 de octubre de 2020 de https://www.zdnet.com/article/kashmirblack-botnet-behind-attacks-on-cmss-like-wordpress-joomla-drupal-others/  Ravie Lakshmanan (29 de octubre de 2020). KashmirBlack Botnet Hijacks Thousands of Sites Running On Popular CMS Platforms. Recuperado 30 de octubre de 2020. Obtenido de https://thehackernews.com/2020/10/kashmirblack-botnet-hijacks-thousands.html
Dirección - Av. Amazonas N 40-71 y Gaspar de Villarroel Quito, Ecuador Teléfono - (+593) 22 272-179
EcuCERT
ecucert Centro de respuesta a incidentes informáticos del Ecuador
Llaves PGP/GPG
(+593) 22 272-179
Envíanos un Correo
Horario de atención: Lunes a Viernes 8:15 - 17:00

Copyright © 2017 EcuCERT