Pese a lo alarmante del título debemos decir que si tenemos nuestros WordPress, Plugins y Themes actualizados no debería ser un problema, ya que queda corregido en sus cores.
Un malware de puerta trasera de Linux infecta sitios web basados en WordPress
Esta entrada se corresponde a una traducción del artículo publicado en Drweb.com
30 de diciembre de 2022
Doctor Web ha descubierto un programa malicioso para Linux que hackea sitios web basados en el CMS WordPress. Explota 30 vulnerabilidades en una serie de plugins y temas para esta plataforma. Si los sitios utilizan versiones obsoletas de dichos complementos, que carecen de correcciones cruciales, las páginas web atacadas se inyectan con JavaScripts maliciosos. Como resultado, cuando los usuarios hacen clic en cualquier área de una página atacada, son redirigidos a otros sitios.
Los ciberdelincuentes llevan muchos años atacando sitios web basados en WordPress. Los expertos en seguridad de la información registran casos en los que se aprovechan diversas vulnerabilidades de la plataforma WordPress para piratear sitios e inyectar en ellos scripts maliciosos. Un análisis de una aplicación troyana descubierta, realizado por los especialistas de Doctor Webs, ha revelado que podría tratarse de la herramienta maliciosa que los ciberdelincuentes llevan utilizando desde hace más de tres años para llevar a cabo este tipo de ataques y monetizar la reventa de tráfico, o arbitraje.
Denominado Linux.BackDoor.WordPressExploit.1 de acuerdo con la clasificación del antivirus Dr.Web, este malware se dirige a las versiones de 32 bits de Linux, aunque también puede ejecutarse en versiones de 64 bits. Linux.BackDoor.WordPressExploit.1 es una puerta trasera controlada remotamente por actores maliciosos. A sus órdenes, es capaz de realizar las siguientes acciones:
- Atacar una página web (sitio web) especificada;
- Cambiar al modo de espera;
- Apagarse;
- Detener el registro de sus acciones.
La principal funcionalidad del troyano es piratear sitios web basados en un CMS (sistema de gestión de contenidos) WordPress e inyectar un script malicioso en sus páginas web. Para ello, utiliza vulnerabilidades conocidas en plugins y temas de sitios web de WordPress. Antes de atacar, el troyano contacta con su servidor de C&C y recibe la dirección del sitio que va a infectar. A continuación, Linux.BackDoor.WordPressExploit.1 intenta explotar sucesivamente las vulnerabilidades de los siguientes plugins y temas obsoletos que pueden instalarse en un sitio web:
- WP Live Chat Support Plugin
- WordPress – Entradas relacionadas con Yuzo
- El plugin para personalizar temas de Yellow Pencil
- Easysmtp
- WP GDPR Compliance Plugin
- Tema de periódico en WordPress Control de acceso (vulnerabilidad CVE-2016-10972)
- Thim Core
- Google Code Inserter
- Plugin Total Donations
- Post Custom Templates Lite
- WP Quick Booking Manager
- Faceboor Live Chat por Zotabox
- Blog Designer WordPress Plugin
- WordPress Ultimate FAQ (vulnerabilidades CVE-2019-17232 y CVE-2019-17233)
- Integración WP-Matomo (WP-Piwik)
- WordPress ND Shortcodes para Visual Composer
- Chat en Vivo WP
- Página Coming Soon y Modo Mantenimiento
- Híbrido
Si una o más vulnerabilidades son explotadas con éxito, la página objetivo es inyectada con un JavaScript malicioso que es descargado desde un servidor remoto. Con eso, la inyección se hace de tal manera que cuando la página infectada se carga, este JavaScript se iniciará en primer lugar, independientemente del contenido original de la página. En este punto, cada vez que los usuarios hagan clic en cualquier parte de la página infectada, serán transferidos al sitio web al que los atacantes necesitan que los usuarios vayan.
En la siguiente captura de pantalla se muestra un ejemplo de una de las páginas infectadas:
La aplicación troyana recopila estadísticas sobre su trabajo. Realiza un seguimiento del número total de sitios web atacados, cada caso de vulnerabilidad explotada con éxito y, además, el número de veces que ha explotado con éxito el plugin WordPress Ultimate FAQ y el mensajero de Facebook de Zotabox. Además, informa al servidor remoto sobre todas las vulnerabilidades no parcheadas detectadas.
Junto con la modificación actual de esta aplicación troyana, nuestros especialistas también descubrieron su versión actualizada Linux.BackDoor.WordPressExploit.2. Se diferencia de la original por la dirección del servidor de C&C, la dirección del dominio desde el que se descarga el JavaScript malicioso, y también por una lista adicional de vulnerabilidades explotadas para los siguientes plugins:
- Brizy WordPress Plugin
- Reproductor de vídeo FV Flowplayer
- WooCommerce
- Página Coming Soon de WordPress
- Tema de WordPress OneTone
- Simple Fields WordPress Plugin
- WordPress Delucks SEO plugin
- Poll, Survey, Form & Quiz Maker de OpinionStage
- Rastreador de métricas sociales
- Captador de feeds RSS WPeMatico
- Plugin Rich Reviews
Se ha descubierto que ambas variantes del troyano contienen una funcionalidad no implementada para piratear las cuentas de administrador de los sitios web objetivo mediante un ataque de fuerza bruta, aplicando nombres de usuario y contraseñas conocidos y utilizando vocabularios especiales. Es posible que esta funcionalidad estuviera presente en modificaciones anteriores o, por el contrario, que los atacantes planeen utilizarla en futuras versiones de este malware. Si dicha opción se implementa en versiones más recientes de la puerta trasera, los ciberdelincuentes podrán incluso atacar con éxito algunos de los sitios web que utilizan versiones actuales de plugins con vulnerabilidades parcheadas.
Doctor Web recomienda a los propietarios de sitios web basados en WordPress que mantengan actualizados todos los componentes de la plataforma, incluidos los complementos y temas de terceros, y que también utilicen nombres de usuario y contraseñas fuertes y únicos para sus cuentas.
Indicadores de peligro
Más detalles sobre Linux.BackDoor.WordPressExploit.1
Más detalles sobre Linux.BackDoor.WordPressExploit.2
Sabemos que combatir estos problemas es complicado sin tener los conocimientos adecuados, recuerda que puedes contactar y nos ponemos manos a la obra inmediatamente.
Hola Miguel.
Muy interesante este post.
Es una vulnerabilidad de WordPress en la version actual 6.1.1 que no está solucionado.
Un parcheamiento virtual cloud es de momento la solución.
Aquí te dejo un dato. https://patchstack.com/database/vulnerability/wordpress/wordpress-6-1-1-unauth-blind-ssrf-vulnerability?_a_id=110
Muchas gracias por tu propuesta José.
Un abrazo enorme