Los piratas informáticos están explotando una falla crítica que afecta a más de 350,000 sitios de WordPress

Logotipos de WordPress en varios colores.

Los piratas informáticos están explotando activamente una vulnerabilidad que les permite ejecutar comandos y scripts maliciosos en los sitios web que se ejecutan Administrador de archivos, un complemento de WordPress con más de 700.000 instalaciones activas, dijeron investigadores el martes. La noticia de los ataques se produjo unas horas después de que se corrigiera la falla de seguridad.

Los atacantes están utilizando el exploit para cargar archivos que contienen webshells que están ocultos en una imagen. A partir de ahí, tienen una interfaz conveniente que les permite ejecutar comandos en plugins / wp-file-manager / lib / files /, el directorio donde reside el plugin File Manager. Si bien esa restricción evita que los piratas informáticos ejecuten comandos en archivos fuera del directorio, los piratas informáticos pueden causar más daño al cargar scripts que pueden realizar acciones en otras partes de un sitio vulnerable.

NinTechNet, una empresa de seguridad de sitios web en Bangkok, Tailandia, fue una de las primeras en informar los ataques en la naturaleza. La publicación decía que un hacker estaba explotando la vulnerabilidad para cargar un script titulado hardfork.php y luego usarlo para inyectar código en los scripts de WordPress /wp-admin/admin-ajax.php y /wp-includes/user.php.

Hacer backdoor en sitios vulnerables a escala

En un correo electrónico, el director ejecutivo de NinTechNet, Jerome Bruandet, escribió:

Es demasiado pronto para saber el impacto porque cuando detectamos el ataque, los piratas informáticos solo intentaban abrir sitios web por la puerta trasera. Sin embargo, una cosa interesante que notamos es que los atacantes estaban inyectando código para proteger con contraseña el acceso al archivo vulnerable (conector.minimal.php) para que otros grupos de piratas informáticos no pudieran explotar la vulnerabilidad en los sitios que ya estaban infectados.

Todos los comandos se pueden ejecutar en la carpeta / lib / files (crear carpetas, eliminar archivos, etc.), pero el problema más importante es que también pueden cargar scripts PHP en esa carpeta, y luego ejecutarlos y hacer lo que quieran en el blog. .

Hasta ahora, están cargando “FilesMan”, otro administrador de archivos que los hackers suelen usar. Este está muy ofuscado. En las próximas horas y días veremos exactamente qué harán, porque si protegieron con contraseña el archivo vulnerable para evitar que otros piratas informáticos exploten la vulnerabilidad, es probable que esperen volver a visitar los sitios infectados.

La firma de seguridad de sitios web Wordfence, mientras tanto, dijo en su propia publicación que había bloqueado más de 450.000 intentos de explotación en los últimos días. La publicación decía que los atacantes están tratando de inyectar varios archivos. En algunos casos, esos archivos estaban vacíos, probablemente en un intento de sondear sitios vulnerables y, si tiene éxito, inyectar un archivo malicioso más tarde. Los archivos que se cargaban tenían nombres que incluían hardfork.php, hardfind.php y x.php.

“Un complemento de administrador de archivos como este le permitiría a un atacante manipular o cargar cualquier archivo de su elección directamente desde el panel de WordPress, lo que podría permitirle escalar privilegios una vez en el área de administración del sitio”, dijo Chloe Chamberland, investigadora de seguridad Wordfence firme, escribió en la publicación del martes. “Por ejemplo, un atacante podría obtener acceso al área de administración del sitio usando una contraseña comprometida, luego acceder a este complemento y cargar un webshell para hacer una enumeración adicional del servidor y potencialmente escalar su ataque usando otro exploit”.

52% de 700.000 = potencial de daño

El complemento File Manager ayuda a los administradores a administrar archivos en sitios que ejecutan el sistema de administración de contenido de WordPress. El complemento contiene un administrador de archivos adicional conocido como elFinder, una biblioteca de código abierto que proporciona la funcionalidad principal en el complemento, junto con una interfaz de usuario para usarlo. La vulnerabilidad surge de la forma en que el complemento implementó elFinder.

“El núcleo del problema comenzó cuando el complemento Administrador de archivos cambió el nombre de la extensión en la biblioteca de elFinder. connector.minimal.php.dist a .php para que pueda ejecutarse directamente, aunque el administrador de archivos no haya utilizado el archivo conector “, explicó Chamberland.” Estas bibliotecas a menudo incluyen archivos de ejemplo que no están destinados a ser utilizados ‘tal cual’ sin agregar acceso controles, y este archivo no tenía restricciones de acceso directo, lo que significa que cualquier persona puede acceder al archivo. Este archivo podría usarse para iniciar un comando elFinder y estaba conectado al elFinderConnector.class.php expediente.”

Los desarrolladores de File Manager le dieron crédito al investigador Ville Korhonen de la firma de seguridad Seravo por haber descubierto y reportado primero la vulnerabilidad. Los investigadores, que dijeron que encontraron la vulnerabilidad como parte de su “servicio de mantenimiento de WordPress” habitual, publicaron su propio artículo. aquí.

Sal Aguilar, un contratista que configura y asegura sitios de WordPress, llevó a Twitter para advertir de los ataques que está viendo.

“¡¡¡Oh mierda!!!” el escribio. “La vulnerabilidad de WP File Manager es SERIA. Se está extendiendo rápidamente y veo cientos de sitios infectados. Se está cargando malware en / wp-content / plugins / wp-file-manager / lib / files”.

La falla de seguridad está en las versiones de File Manager que van desde la 6.0 a la 6.8. Estadísticas de WordPress muestran que actualmente alrededor del 52 por ciento de las instalaciones son vulnerables. Con más de la mitad de la base instalada de 700.000 sitios de File Manager vulnerables, el potencial de daño es alto. Los sitios que ejecutan cualquiera de estas versiones deben actualizado a 6,9 tan pronto como sea posible.

Actualizado para agregar del cuarto al último párrafo.

Recent Articles

Los objetivos de ransomware más vulnerables son las instituciones en las que más confiamos

Nota del editor (21/9/20): este artículo se publicó originalmente en línea el 23 de marzo de 2016. Lo volvemos a publicar a la luz...

Twitter permite que decenas de tweets que engañan a parejas interreligiosas indias permanezcan despiertos durante meses

Durante casi dos meses, los tuits de nacionalistas hindúes de extrema derecha en la India que molestaban a decenas de...

Las acciones asiáticas se mezclaron mientras las preocupaciones se filtran por la pandemia

Los mercados se mezclaron en Asia el miércoles, ya que los inversores...

La función de sincronización renovada de Opera utiliza un código QR para conectar su teléfono y su PC

Opera está implementando actualizaciones importantes en sus navegadores...

Related Stories

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí