Ciberataque a WordPress

Ciberataque a WordPress

En las últimas horas hemos recibido la noticia, de un serio ciberataque a WordPress por medio de bots, afectando a másde 20.000 usuarios.

Hace pocas horas, la versión 5.0.1 de WordPress, salía para corregir, siete vulnerabilidades de seguridad, algunas de las cuales permiten la toma de control del sitio,pero también con esto, provocaba una fuga de privacidad bastante grave.

¿Cómo se descubrió ?

Recientemente se comenzó a rastrear el comportamiento de una campaña organizada de ataque de fuerza bruta contra sitios de WordPress. Esta campaña ha creado una botnet de sitios web del Ciberataque a WordPress infectados para realizar sus ataques, que intentan la autenticación XML-RPC a otros sitios de WordPress para acceder a cuentas privilegiadas.

Los ciberatacantes usan un grupo de cuatro servidores de comando y control C2 para enviar solicitudes a más de 14,000 servidores proxy proporcionados por un proveedor de proxy ruso. Utilizan estos proxies para anonimizar el tráfico C2.

Las solicitudes pasan a través de los servidores proxy y se envían a más de 20,000 sitios de WordPress infectados.Esos sitios ejecutan un script de ataqueque ataca los sitios de WordPress dirigidos.

La famosa aplicación Yoast Seo, fue uno de los primeros, en descubrir como google, indexabalas pantallas de activación para nuevos usuarios.

Además, se dieron cuenta que con ciertas búsquedas de Google especialmente diseñadas, un atacante podría recopilar las direcciones de correo electrónico de los usuarios, y en algunos casos raros, contraseñas generadas por defecto.

Las consecuencias, podrían ser más graves, si el usuario en cuestión tiene un perfil de administrador, y no ha cambiado sus contraseñas, como se debe realizar a menudo.

Acaban de sacar un parche

WordPress en su último parche, agrego un proceso de validación MIME más sólido para los archivos cargados, verifica que los archivos comprimidos, coincidan con su contenido, y que no realicen cambios en las extensiones, al descomprimir.

Usuarios de WordPress podían editar nuevos comentarios deusuarios con privilegios más altos, lo que podría generar una vulnerabilidad de scripts entre sitios, y que las entradas de URL especialmente diseñadas podrían dar lugar a una vulnerabilidad de scripts entre sitios en algunas circunstancias.

En este último caso, el CMS de WordPress no se vio afectado, los complementos de WordPress podrían verse afectados en algunos escenarios.

Por el momento tranquilidad

Los atacantes, a pesar de la complejidad del ataque, cometieron errores. De este modo, la empresa pudo rastrear los servidores de ciertos proveedores.

Ahora, la compañía está en proceso de informar a todos los afectados, lo que incluye a las autoridades y a los hosts de los sitios web implicados, para que puedan tomar las medidas adecuadas y contrarrestar el problema.

Hasta que selanzó el parche ayer, más de cien milsitios de WordPress que usan el complemento WP GDPR Compliance, fueron vulnerables a este tipo de ataque. Es de vital importancia que cualquier sitio que use este complemento, realice la actualización lo antes posible.

Finalmente, te aconsejamos desde PUNTONET, si crees que tu sitio ha sido afectado por esta vulnerabilidad, verifiques que dispone de todas las actualizaciones oportunas, en su sistema WordPress.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *