Hackers estan utilizando tres exploits de dia cero para instalar backdoors en sitios de WordPress
Segun una alerta de seguridad publicada hace unos minutos por la firma de seguridad de WordPress Wordfence.Los dias cero afectan a tres complementos de WordPress: Appointments, RegistrationMagic-Custom Registration Forms, y galeria de Flickr.
Los autores de los complementos publicaron actualizaciones para corregir el vector de ataque: una vulnerabilidad de inyeccion de objetos PHP que afecta a los tres complementos de la misma forma.
Los exploits de dia cero permiten a los piratas informaticos instalar puertas traseras en sitios vulnerables
"Esta vulnerabilidad permitio a los atacantes hacer que un sitio web vulnerable obtuviera un archivo remoto (una puerta trasera de PHP) y lo guardara en una ubicacion de su eleccion"
Segun el investigador de Wordfence, Brad Haas.
Segun Haas, la vulnerabilidad es muy facil de explotar, lo que obliga a los atacantes a empaquetar el codigo de explotacion dentro de una solicitud HTTP POST enviada al sitio de la victima. Los atacantes no necesitan ser autenticados en el sitio para desencadenar el exploit.
Para los sitios que ejecutan el complemento Galeria Flickr, el hacker tiene que orientar la URL raiz del sitio, mientras que para los otros dos, el hacker tiene que apuntar la solicitud POST en el archivo admin-ajax.php.
Una vez que el hacker engana a los sitios en la descarga de la puerta trasera, el puede hacerse cargo de los sitios en cuestion de minutos.
Encontrados 21.000 sitios wordpress vulnerables
Wordfence dijo que detecto los dias cero despues de investigar una serie de sitios hackeados y encontrar evidencia de la explotacion.Hay buenas y malas noticias. La buena noticia es que los plugins no son tan populares, teniendo alrededor de 21.000 instalaciones combinadas.
La mala noticia es que los dias cero son faciles de explotar y otros hackers pueden hacer ingenieria inversa en los changelogs de plugins para deducir el codigo de explotacion.
La vulnerabilidad en el nucleo de estos dias cero tiene una puntuacion de 9,8 sobre 10 en la escala de gravedad CVSSv3, que es muy alta, y clasifica la vulnerabilidad como "Critica".
Los propietarios de sitios web pueden actualizar los complementos a las versiones parcheadas, o pueden desinstalar los complementos, solo para estar seguros.
A continuacion se presentan las versiones de complemento donde los desarrolladores solucionaron las vulnerabilidades:- Appointments by WPMU Dev (fixed in 2.2.2)
- Flickr Gallery by Dan Coulter (fixed in 1.5.3)
- RegistrationMagic-Custom Registration Forms by CMSHelpLive (fixed in 3.7.9.3)
