Damián Digital

Los hackers explotan la vulnerabilidad crítica encontrada en ~100.000 sitios de WordPress

La falla del plugin ThemeGrill permite a los atacantes limpiar los sitios y posiblemente apoderarse de ellos.

Los Hackers están explotando activamente una vulnerabilidad crítica de los plugins de WordPress que les permite borrar completamente todas las bases de datos de los sitios web y, en algunos casos, apoderarse por completo de los sitios afectados.

El fallo está en el Importador de Demostración de ThemeGrill instalado en unos 100.000 sitios, y fue revelado durante el fin de semana por la empresa de seguridad de sitios web WebARX. Para el martes, WebArx informó que la falla estaba bajo explotación activa con casi 17.000 ataques bloqueados hasta el momento. Hanno Böck, un periodista que trabaja para Golem.de, también detectó ataques activos y los reportó en Twitter.

«Actualmente hay una grave vulneración en un plugin de wordpress llamado «importador de demostraciones de themegrill» que reinicia toda la base de datos», escribió Böck. Parece que los ataques están comenzando: Algunas de las páginas web afectadas muestran un post de wordpress «hola mundo». /cc Si usas este plugin y tu página web no ha sido borrada todavía considérate afortunado. Y elimina el plugin. (Sí, elimínalo, no te limites a actualizar.)»

Hola, mundo cruel

El mensaje «Hola Mundo» es el marcador de posición predeterminado que se muestra en los sitios de WordPress cuando se instala por primera vez el sistema de gestión de contenidos de código abierto o cuando se borra. Böck me dijo que los atacantes parecen estar explotando la vulnerabilidad de ThemeGrill con la esperanza de obtener el control administrativo de los sitios web afectados. La toma de sitios web sólo ocurre cuando un sitio vulnerable tiene una cuenta con el nombre «admin». En esos casos, después de que los hackers explotan la vulnerabilidad y limpian todos los datos, se conectan automáticamente como un usuario que tiene derechos administrativos.

LEER  Coronacoin: Una moneda realmente viral y maquiavélica

«El asunto es que, en la mayoría de los casos, se obtiene ‘sólo’ un restablecimiento de la base de datos, es decir, que no es realmente útil para un atacante, pero si existe un usuario ‘admin’, el atacante puede hacerse cargo de él», dijo en un mensaje directo. «Pero eso no se sabe de antemano. Por lo tanto, asumo que los atacantes sólo tratarán de dejar un montón de instalaciones devastadas de WordPress atrás mientras secuestran las pocas donde este ataque funciona.»

El importador de demostraciones ThemeGrill se utiliza para importar automáticamente otros plugins disponibles en la compañía de desarrollo web. Las estadísticas de WordPress inicialmente dijeron que el plugin importador recibió 200.000 instalaciones. Más recientemente, el número ha sido revisado a la baja a 100.000, muy probablemente porque muchos sitios web han optado por desinstalarlo.

Según WebARX, la vulnerabilidad ha estado activa durante unos tres años y reside en las versiones desde la 1.3.4 hasta la 1.6.1. La corrección está disponible en la versión 1.6.2, aunque en las últimas 12 horas ha aparecido una versión más reciente (conocida como 1.6.3).

Fallo en la autenticación

El fallo se debe a que no se ha autenticado a los usuarios antes de permitirles llevar a cabo comandos administrativos privilegiados. Los hackers pueden abusar de este fallo enviando peticiones web que contienen cadenas de texto especialmente creadas.

«Esta es una seria vulnerabilidad y puede causar una cantidad significativa de daño», escribieron los investigadores de WebARX en la divulgación de este fin de semana. «Dado que no requiere una carga sospechosa como nuestro anterior hallazgo en InfiniteWP, no se espera que ningún cortafuegos bloquee esto por defecto, y es necesario crear una regla especial para bloquear esta vulnerabilidad».

LEER  Ataque de Día Cero: Es posible "hackear" iPhones con sólo enviar correos electrónicos.

Específicamente, la vulnerabilidad permite a los atacantes borrar todas las tablas y poblar la base de datos con datos y configuraciones predeterminadas. Las cuentas denominadas «admin», suponiendo que existan, se configuran con su contraseña previamente conocida. En caso de que existan cuentas denominadas «admin», el atacante se encontrará conectado con derechos administrativos.

Los investigadores de WebARX descubrieron la vulnerabilidad y la reportaron a los desarrolladores de ThemeGrill el 2 de febrero. El desarrollador del plugin no publicó una solución hasta el domingo. Los sitios web que usan ThemeGrill deben actualizarse inmediatamente. Mejor aún, como recomendó Böck, deberían desinstalar el plugin por completo. La vulnerabilidad es distinta de otro error reportado durante el fin de semana en el plugin de WordPress wpCentral. Ese fallo permite a los usuarios no confiables aumentar sus privilegios.

Fuente: https://arstechnica.com/

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

A %d blogueros les gusta esto: