Sucuri ha detectado una campaña de exploración en línea que está en busca de sitios web que utilizan la gestión de base de datos Adminer.
Adminer es una herramienta similar a phpMyAdmin, pero de menor tamaño y con menos funciones, una razón por la que se hizo popular entre algunos webmasters.Adminer ha existido desde hace más de una década, y debido a su tamaño se ha desplegado en muchos servidores y embebidos en diversos plugins para plataformas populares CMS, tales como WordPress, Drupal, Joomla, Magento, y otros.
Debido al propósito de la herramienta, una vez que alguien se hace cargo de una cuenta Adminer, tienen la capacidad de ejecutar consultas SQL en el servidor subyacente. Un hacker dotado puede poner fácilmente juntos consultas SQL que le permiten hacerse cargo de los servidores, e indirectamente a todos los sitios que se ejecutan en él.
Sucuri, una empresa que trabaja con los más avanzados Web Application Firewall (WAF) en el mercado, dice que encontró a los engranajes internos de una infraestructura Adminer de exploración en un sitio web comprometido que fueron llamados para investigar.
El investigador Denis Sinegubko de Sucuri encontró un sistema de escaneo escondida dentro de un archivo legítimo llamado "at.php" para consultar un servidor remoto para obtener una lista de 10.000 dominios dispuestos en orden alfabético.
El escáner entonces se conecta a esos dominios y buscan unos 14 archivos con nombres típicos a una u otra versión del script/plugins Adminer.
Sinegubko dice que una vez que un sitio se identifica que trabaja con Adminer, el escáner se ahorraría el sitio y la URL de trabajo en un archivo llamado simplemente "c". Una vez que el escáner termina la lista de 10K, solicita otro lote de dominios.
El atacante esta usando una de las últimas vulnerabilidades Adminer para acceder a la interfaz de gestión de base de datos o si está utilizando ataques de fuerza bruta para romper su camino en el panel de gestión de instancias Adminer corriendo con defecto o de fácil adivinar las contraseñas.
Adminer, al igual que phpMyAdmin, SQL, y otras herramientas similares, no tiene un sistema de protección de fuerza bruta. Webmasters que utilizan interfaces gráficas de usuario basada en web para la gestión de bases de datos deben considerar el cambio a una interfaz CLI o instalar un producto WAF.
Si no pueden permitirse un producto comercial, las alternativas libres son ModSecurity y NinjaFirewall.
Fecha actualización el 2021-01-13. Fecha publicación el 2018-01-13. Categoría: Wordpress. Autor: Oscar olg Mapa del sitio Fuente: bleepingcomputer