Llegamos a ustedes gracias a:



Alertas de Seguridad

Miles de sitios WordPress comprometidos

A través de una vulnerabilidad de un plugin

[30/07/2014] Una vulnerabilidad crítica recientemente encontrada en un popular plugin de boletín para WordPress está siendo usada por los hackers y fue utilizada para comprometer un estimado de 50 mil sitios hasta el momento.

La falla de seguridad se encuentra localizada en MailPoet Newsletters, anteriormente conocido como wysija-newsletters, y fue reparada en la versión 2.6.7 del plugin lanzado el 1 de julio. Si no se le parcha, permite a los atacantes subir archivos PHP arbitrarios al servidor web y tomar control del sitio.

MailPoet Newsletters ha sido descargado casi dos millones de veces del repositorio oficial de plugins de WordPress, hasta el momento.

Hace varios días los investigadores de la firma de seguridad web Sucuri detectaron un ataque automatizado que inyectó un archivo backdoor PHP en muchos sitios de WordPress. Un análisis más profundo reveló que el ataque explotó la vulnerabilidad del archivo de MailPoet parchada a inicios de mes.

El backdoor es muy desagradable y crea un usuario administrador llamado 1001001, afirmaron los investigadores de Sucuri en una entrada de blog. También inyecta un código de backdoor a todos o los principales archivos o temas. El problema mayor con esta inyección es que usualmente chanca archivos buenos, haciendo que sea difícil recuperarlos si no se tiene una buena copia de respaldo.

El escáner de sitios web gratuito de Sucuri, que las personas pueden usar voluntariamente, detecta unos cuantos miles de sitios comprometidos por este ataque todos los días, de acuerdo a Daniel Cid, chief technology officer de Sucuri. Sin embargo, Sucuri estima que hasta 50 mil sitios fueron infectados hasta el momento, sostuvo el jueves vía correo electrónico.

Algunos sitios que no tenían MailPoet instalado o no estaban usando WordPress también fueron comprometidos, debido a lo cual Cid considera que hay contaminación cruzada. Si una cuenta de alojamiento web tiene un sitio WordPress vulnerable a este ataque, el backdoor PHP subido a través de él puede infectar a todos los sitios alojados bajo la misma cuenta.

En las compañías de alojamiento más compartidas (GoDaddy, Bluehost, etc.) una cuenta no puede acceder a los archivos de otra cuenta, por lo que la contaminación cruzada podría estar restringida a los sitios dentro de la misma cuenta, afirmó Cid. Sin embargo, en otros casos, si el servidor no está adecuadamente configurado, lo cual no es poco común, la infección se puede diseminar hacia todos los sitios y cuentas en el mismo servidor.

El script de inyección usado en el ataque inicial tenía un bug que dañaba lo archivos legítimos del sitio, lo cual daba como resultado errores obvios. Ese ya no es el caso, los atacantes han reparado el código y la más reciente variación del malware ya no rompe los sitios web, indicó Cid.

Para proteger sus sitios WordPress de este ataque, los administradores deberían actualizar el plugin de MailPoet a la versión más reciente, que es la 2.6.9. La versión 2.6.8 lanzada el 4 de julio, se encargaba de otro tema de seguridad.
Lucian Constantin, IDG News Service