Sitios de WordPress hackeados fueron alterados para desviar secretamente cookies para las cuentas de usuario y de administrador a un dominio imitando la API de WordPress
El atacante envía cookies robadas acode.wordprssapi [.] Com, un dominio que imita un servicio de WordPress inexistente.
Sucuri dice que encontró este malware frente a un suceso, escondida en el fondo de archivos JavaScript legítimos.
El software malicioso JavaScript esta diseñado para robar las cookies
El propósito del software malicioso era robar las cookies y enviarlo al dominio de aspecto oficial cada vez que un usuario accede al sitio y cargar el código JavaScript.El objetivo de este malware parece ser cuentas de administrador, y no a los usuarios habituales, que por lo general no tienen cuentas en el sitio, y sus cookies son normalmente estériles de los datos útiles.
Por otro lado, los archivos de cookies para los administradores del sitio contienen datos que se pueden utilizar para imitar el administrador sin necesidad de conocer la contraseña del sitio. Este tipo de ataque, llamado secuestro de sesión, le permitiría al atacante acceder a backend del sitio, donde se puede crear un nuevo usuario administrador para sí mismo.
Expertos de Sucuri no dijo cómo este código se cargó en el sitio hackeado, pero el ecosistema CMS WordPress es conocido por ser bastante inseguro, gracias a una gran cantidad de temas y plugins desactualizados. los usuarios de WordPress que utilizan los viejos temas y plugins sin querer exponer su sitio para todo tipo de vulnerabilidades que pueden permitir a los hackers tomar el control de su sitio, o como en este caso, la ganancia de un punto de apoyo inicial para llevar a cabo ataques más complejos.
Mientras que el equipo de WordPress no puede forzar el tema y desarrolladores de plugins para mantener su código de puesta al día en todo momento, sí muestran advertencias en el repositorio de plugins de WordPress siempre que los usuarios están tratando de instalar plugins desactualizados.
WordPress lanza programa de recompensas de errores
Por otra parte, el 16 de mayo, el equipo de WordPress puso en marcha un programa oficial de recompensas de errores en la plataforma HackerOne.El programa de recompensas de errores está abierto a todo el mundo, después de que el equipo de WordPress corrió en privado durante unos meses, durante los cuales se otorgan premios de $ 3.700 y reporteros de errores.
El programa cubre todos los proyectos oficiales, tales como WordPress, BuddyPress, bbPress, GlotPress, y WP-CLI, así como todos los sitios oficiales, incluidos WordPress.org, bbPress.org, WordCamp.org, BuddyPress.org y GlotPress.org.
WordPress 4.7.5 está fuera
También el 16 de mayo, el equipo de WordPress lanzo WordPress 4.7.5 , una versión de seguridad y mantenimiento.Estos son las novedades de la versión 4.7.5 de Wordpress
- Validación redirección insuficiente en la clase HTTP.
- El manejo inadecuado de los valores de metadatos de correos en la API XML-RPC.
- Falta de pruebas de capacidad de datos posteriores a la meta en la API XML-RPC.
- Una solicitud Cross Site Falsificación (MERC) vulnerabilidad fue descubierta en el diálogo de credenciales del sistema de archivos.
- Una vulnerabilidad de cross-site scripting (XSS) fue descubierto cuando se trata de subir archivos muy grandes.
- Un script de páginas web (XSS) fue descubierto en relación con la Personalizador.
