Emplean vulnerabilidad en WordPress para defacement en 1.5 millones de páginas
Más de 20 atacantes o grupos de ellos están realizando defacement a sitios con WordPress que aún no aplican el parche más reciente para una vulnerabilidad crítica.
La vulnerabilidad, ubicada en la plataforma REST API, permite a usuarios no autenticados modificar el contenido de cualquier publicación o página dentro de un sitio WordPress. El fallo fue arreglado en la versión 4.7.2, lanzada el 26 de enero, pero el equipo de WordPress no publicó el descubrimiento de la vulnerabilidad hasta una semana después, para dar suficiente tiempo a que un gran número de usuarios realizaran la actualización.
Sin embargo, incluso después de que el fallo se hiciera público, muchos administradores de sitios no aplicaron el parche y siguió una oleada de ataques. La firma de seguridad Sucuri reportó que cerca de 67,000 páginas han sido modificadas en cuatro campañas de ataque separadas.
Desde entonces el número de páginas afectadas aumentó a más de 1.5 millones y hay 20 firmas de distintos atacantes, de acuerdo con las estadísticas de Feedjit, la compañía detrás del complemento de seguridad Wordfence para WordPress. El número de sitios web únicos afectados está estimado en alrededor de 40,000 ya que un sitio puede tener múltiples páginas modificadas.
“Esta vulnerabilidad ha resultado en una especie de frenesí en el cual los atacantes están compitiendo entre ellos para realizar defacement a sitios WordPress vulnerables”, indicó Mark Maunder, CEO de la compañía Feedjit, en una publicación. “En las pasadas 48 horas hemos visto más de 800,000 ataques explotando esta vulnerabilidad en específico en los sitios con WordPress que monitoreamos”.
Un aspecto interesante es que los atacantes han logrado encontrar una manera de evadir las reglas de bloqueo iniciales colocadas por los proveedores de firewall de aplicación web y las compañías de hosting para proteger a sus clientes de los intentos de explotar este fallo.
Las compañías no pueden obligar a los administradores a actualizar sus instalaciones de WordPress, pero pueden colocar filtros en sus servidores para evitar que los ataques lleguen a los sitios de sus clientes. De hecho, antes de lanzar el parche oficial, el equipo de seguridad de WordPress llegó a seleccionar empresas de hosting y seguridad web para ayudarlos a desplegar reglas de protección para este fallo.
Google también mandó alertas de seguridad observando esta vulnerabilidad a los administradores web que tienen registrados sitios con WordPress en el servicio de Google Search Console. Las alertas advierten instalar la actualización 4.7.2 de WordPress, pero generaron confusión entre los usuarios que ya habían aplicado el parche.
Fuente: PC World AA