Más de un año
después que se descubriera la presencia intencionada de código malicioso
dentro de 14 plugins de WordPress, todo indica que cientos de sitios siguen
haciendo uso de dichos componentes.
El desarrollador
Thomas Hambach descubridor del malware, mencionó que los atacantes estaban
utilizando código malicioso para insertar enlaces de SEO en los sitios
comprometidos. Este descubrimiento fue advertido por el equipo de WordPress que
inmediatamente eliminó los 14 plugins maliciosos detectados del repositorio
oficial.
A pesar de las
acciones tomadas por parte del equipo de WordPress, se continuan detectando
peticiones a lo largo de distintas IPs que intentan acceder al código
malicioso, específico a los plugins con backdoor.
Este asunto volvió a
llamar la atención recientemente cuando WordPress modificó el repositorio de
plugins de manera que los plugins antiguos que se cerraron pueden verse aún.
Anteriormente no eran visibles al público.
La nueva versión del
repositorio cuenta con la posibilidad de observar las instalaciones activas del
plugin y a pesar de que los plugins fueron eliminaros para ser descargados por
el público, cientos de sitios aún cuentan con ellos.
Podemos encontrar una
lista de los plugins vulnerables de los que estamos hablando en este enlace.
Entre ellos, encontramos 5 plugins de 2014 que siguen instalados en cientos de
sitios.
Todos los sitios que
estén haciendo uso de estos plugins pueden ser hackeados por un atacante que
sepa lo que debe buscar y probablemente pertenezcan a proyectos abandonados
desde hace un largo tiempo.
Expertos sugirieron
avisar a los administradores de los sitios cuando existen actualizaciones de
seguridad o tienen instalados plugins que son vulnerables o bien han sido
eliminados del repositorio por incumplir la política.
Según palabras de
Mika Epstein, miembro del equipo de WordPress: "Si hacemos publica la
vulnerabilidad sin un parche existente, ponemos a los usuarios en mayor riesgo.
Si los atacantes conocen que existe un exploit, estos intentarán aprovecharlo
lo más rápidamente posible." Por supuesto, los expertos no estaban alegres
con esta contestación.
Un año después de
estas declaraciones, el equipo de WordPress decidió tomar un camino diferente.
Para combatir graves amenazas de seguridad, WordPress hará un rollback del
plugin a la última versión segura que será instalada a la fuerza; afectando
(presumiblemente) mínimamente a la funcionalidad del sitio pero manteniéndolo
seguro.
Sin embargo, estas
acciones son particulares del equipo de WordPress y solo se llevan a cabo con
graves amenazas.
Mientras tanto, los
usuarios pueden instalar alguno de los muchos plugins de seguridad para
detectar plugins antiguos con fallos de seguridad disponibles en el
repositorio.
Más información:
- The sad state of WordPress plugins: http://thomashamba.ch/the-sad-state-of-wordpress-plugins.html
- AbuseIP information check: https://www.abuseipdb.com/check/46.32.226.214
- Unfixed WordPress plugin vulnerabilities: https://www.pluginvulnerabilities.com/2016/10/24/a-good-example-of-why-wordpress-keeping-quiet-about-unfixed-plugin-vulnerabilities-doesnt-make-sense/
Fuente: Hispasec