Vulnerabilidades críticas en los complementos de WordPress explotados en la naturaleza

Los errores en WordPress posiblemente permitieron a los piratas informáticos obtener derechos de administrador y limpiar datos de sitios web vulnerables

Error en WordPress permite atacantes remotos en sitiosSe pueden crear y utilizar nuevas cuentas con derechos administrativos para la adquisición completa del sitio web. Los piratas informáticos explotaron activamente errores críticos en los complementos de WordPress que les permitieron controlar el contenido de los sitios web por completo e incluso eliminarlos. Se descubrió una vulnerabilidad de día cero en el complemento de WordPress ThemeREX Addons.[1] La falla, cuando se explota, permite a los atacantes crear cuentas con privilegios administrativos, por lo que los sitios web pueden ser controlados.

El complemento en particular está instalado en al menos 44,000 sitios web, según la firma de seguridad Wordfence, por lo que todos esos sitios son vulnerables.[2] El complemento proporciona 466 temas y plantillas comerciales de WordPress a la venta, para que los clientes puedan configurar y administrar temas más fácilmente.

El complemento funciona configurando un punto final de la API REST de WordPress, pero sin verificar si los comandos enviados a esta API REST provienen del propietario del sitio o de un usuario autorizado o no. Así es como cualquier visitante no autenticado puede ejecutar el código remoto.[3]

Otro error relacionado con los temas de WordPress se encontró en los complementos de ThemeGrill que vende temas de sitios web a más de 200,000 sitios. La falla permitió a los atacantes enviar la carga útil particular a esos sitios vulnerables y activar funciones deseadas después de obtener derechos de administrador.[4]

El esquema de temas de WordPress troyanizados que condujeron a servidores comprometidos

Según el análisis, tales fallas permitieron comprometer al menos 20,000 servidores web en todo el mundo. Posiblemente haya dado lugar a instalaciones de malware, exposición de anuncios maliciosos. Más de una quinta parte de estos servidores pertenecen a empresas medianas que tienen menos fondos para realizar sitios web más personalizados, a diferencia de las empresas más grandes, por lo que estos incidentes de seguridad también son más importantes en daño.

Es posible que el aprovechamiento de un CMS tan ampliamente utilizado haya comenzado en 2017. Los piratas informáticos pueden lograr sus objetivos y, sin saberlo, comprometer varios sitios web debido a la falta de conciencia de seguridad de las víctimas. Además de los complementos vulnerables mencionados y otras fallas, se descubrieron 30 sitios web que ofrecen temas y complementos de WordPress.[5]

Se instalaron paquetes troyanos y los usuarios difundieron archivos maliciosos sin siquiera saber que tal comportamiento permite a los atacantes obtener un control total sobre el servidor web. A partir de ahí, es fácil agregar cuentas de administrador, recuperar servidores web e incluso obtener acceso a los recursos corporativos.

Además, el malware incluido en dichos ataques puede:

  • comunicarse con servidores C&C propiedad de piratas informáticos;
  • descargar archivos del servidor;
  • agregar cookies para recopilar varios datos de visitantes;
  • recopilar información sobre la máquina afectada.

Además, los delincuentes involucrados en tales esquemas pueden usar palabras clave, publicidad maliciosa y otras técnicas:

En numerosos casos, los anuncios eran completamente benignos y dirigían al usuario final a un servicio o sitio web legítimo. En otros casos, sin embargo, observamos anuncios emergentes que instaban al usuario a descargar programas potencialmente no deseados.

WordPress es el CMS más popular del mundo

Los informes recientes muestran que el uso de un CMS ya no es opcional y va en aumento. Especialmente para empresas empresariales y aplicaciones autónomas que controlan el contenido separado de la capa de visualización inicial o la experiencia del usuario de front-end.[6] La investigación muestra que, en comparación con otros sistemas de gestión de contenido, el uso de WordPress ha aumentado.

Además, las empresas se benefician claramente del uso de más de un CMS a la vez, por lo que esta práctica se vuelve cada vez más popular. Eso es excepcionalmente útil cuando se trata de problemas con vulnerabilidades y errores o diferentes problemas relacionados con los servicios, la privacidad y la seguridad de su sitio web y datos confidenciales.

Posibles pasos

Los investigadores aconsejan a las organizaciones y administradores que:

  • evite el uso de software pirateado;
  • habilitar y actualizar Windows Defender o diferentes soluciones AV;
  • evite reutilizar contraseñas en todas las cuentas;
  • actualizar el sistema operativo con regularidad
  • confíe en los parches que están disponibles para algunas de esas vulnerabilidades y actualizaciones para complementos particulares.