1

WordPress atacado por vulnerabilidad en plug-in

El exploit detectado recientemente en WordPress pone en peligro a miles de sitios web en todo el mundo que utilizan el plug-in que permite la falla.

CIO AMÉRICA LATINA | Por Elibeth Eduardo | @ely_e

La vulnerabilidad no parcheada se encuentra en el WP Mobile Detector, un plug-in de la versión 3.6 instalado en más de 10.000 sitios web.

En respuesta a esta situación, la empresa género una actualización que corrige el exploit y que comienza a ser visible como aviso en los Escritorios de los usuarios.

WordPress recomienda la instalación inmediata de actualización, así como la verificación de que los sitios del usuarios no se han caído.

La falla fue descubierta el 27 de mayo por el equipo de seguridad de WordPress PluginVulnerabilities.com después de que se observaron solicitudes para el wp-content / plugins / wp-mobile-detector / resize.php a pesar de que no existía en su servidor. Esto indicaba que alguien estaba ejecutando un escaneo automatizado para ese archivo específico, probablemente porque tenía un defecto.

El exploit, sin embargo, pudo comenzar a ser explotado mucho antes de su momento de detección. Desde que se detectó la incursión el plug-in WP Mobile Detector se retiró brevemente del directorio de plug-ins de WordPress.org.

Resize.php

La vulnerabilidad se encuentra en un script llamado guión resize.php y permite a los atacantes remotos subir archivos arbitrarios en el servidor web. Estos archivos pueden ser secuencias de comandos de puerta trasera conocidos como Web shells que proporcionan a los atacantes acceso al servidor de puerta trasera y la capacidad de inyectar código malicioso en páginas legítimas.

De acuerdo con PluginVulnerabilities.com no es un factor limitante: para que este defecto sea explotable, la característica allow_url_fopen debe estar habilitado en el servidor. Dado que no está claro cómo muchos sitios web han sido hackeados, es una buena idea que los sitios web propietarios de WordPress que utilizan este plug-in comprueben sus servidores y verifiquen si hay algún signo de que se encuentran comprometidos.

“En este momento la mayoría de los sitios vulnerables están infectadas con puertas de spam porno. Generalmente, usted puede encontrar el directorio gopni3g en la raíz del sitio, que contiene story.php (generador de umbral de escritura), .htaccess y subdirectorios con archivos y plantillas de spam”, dijo investigar de lla empresa Sucuri, Douglas Santos en una entrada en el blog de esa empresa.