La vulnerabilidad en el núcleo de esta serie de ataques es un bug descubierto por los investigadores Sucuri, que el equipo de WordPress soluciono con el lanzamiento de WordPress 4.7.2, el 26 de enero.
De acuerdo con Sucuri, los atacantes pueden crear solicitudes HTTP simples que les permiten eludir los sistemas de autentificación y editar los títulos y el contenido de las páginas de WordPress. Esta vulnerabilidad sólo afecta a los sitios que se ejecutan en WordPress versión 4.7.0 y 4.7.1.
Inicialmente, la vulnerabilidad se considera de muy alto riesgo, y el equipo de seguridad de WordPress mantuvo en secreto durante casi una semana, lo que permite un gran número de propietarios de sitios de WordPress actualizar su CMS sin estar en peligro de ataques inminentes.
No obstante, WordPress y Sucuri expertos se dieron cuenta de que no podían mantener esto en secreto, y después de una semana, los dos equipos, reveló al mundo que la liberación de WordPress 4.7.2 incluye un arreglo secreto para la API REST de WordPress.
Los temores iniciales de Sucuri se convirtieron en realidad un par de días más tarde, ya que tanto Sucuri y WordFence comenzaron a ver los ataques que aprovechan la falla API REST contra los dos sitios estaban protegiendo.
Al paso del tiempo, el número de ataques contra la falla REST API creció en número, y se hizo evidente tanto para las empresas que los atacantes habían descubierto cómo explotar la falla en los sitios que se quedaron sin una actualización, aunque nadie esperaba este fuerte aumento de hackeado páginas en tan poco tiempo.
"Esta vulnerabilidad se ha traducido en una especie de frenesí de alimentación donde los atacantes están compitiendo entre sí para desfigurar sitios web de WordPress vulnerables", dijo Mark Maunder, Wordfence Fundador y CEO. "Durante las últimas 48 horas hemos visto más de 800.000 ataques que explotan esta vulnerabilidad específica a través de los sitios de WordPress que supervisamos."
En realidad, el número de ataques es mucho más alto, si tenemos en cuenta que no todos los sitios están protegidos por cortafuegos WordFence y Sucuri.
De acuerdo con Maunder, la API REST defecto sopló un nuevo impulso a la actividad de muchos defacers, un término usado para describir a los piratas informáticos que se apoderan de sitios web y volver a escribir el contenido de las páginas.
Sobre la base de las tendencias de Google de datos que tuvo en cuenta la firma de cada uno de estos equipos de piratería informática, podemos ver un fuerte aumento en su popularidad y señala, para diversos grupos, justo después de Sucuri reveló la falla API REST en un blog en el inicio de Febrero.
La mayoría de los sitios desfigurados son fácilmente accesibles a través de una consulta en Google, simplemente mediante la búsqueda en el nombre del grupo de hackers. Todas las desfiguraciones son sólo una simple imagen o un texto, pero Sucuri CTO Daniel Cid cree que estos van a cambiar en el futuro, después de que grupos de spam SEO más capaces se involucran.
Hemos visto un comportamiento similar que implica a los últimos ataques de rescate de base de datos destinados a los servidores MongoDB, donde los diferentes grupos fueron volver a escribir notas de cada uno de rescates.
El fin de semana, Google también advirtió a los propietarios de sitios web de WordPress registrados en la consola de Google Search. Google ha intentado enviar alertas de seguridad a todos los WordPress 4.7.0 y 4.7.1 propietarios de sitios web, pero algunos mensajes de correo electrónico llegó a WordPress 4.7.2 propietarios, algunos de los cuales interpretó erróneamente el correo electrónico y entraron en pánico, temiendo perder su sitio podría ranking en los motores de búsqueda.
Etiquetas: sitios WordPress