miércoles, 27 de diciembre de 2017

Plugins vulnerables de WordPress de 2014 aún presentes en instalaciones

Tras más de un año después de que se descubriera la presencia intencionada de código malicioso dentro de 14 plugins de WordPress, todo indica a que cientos de sitios siguen haciendo uso de dichos componentes.





En este post figuran los 14 plugins que comparten el mismo código malicioso descubierto por el desarrollador Thomas Hambach.

Hambach mencionó que los atacantes estaban utilizando código malicioso para insertar enlaces de SEO en los sitios comprometidos. Este descubrimiento fue advertido por el equipo de WordPress que inmediatamente eliminó los 14 plugins maliciosos detectados del repositorio oficial.
A pesar de las acciones tomadas por parte del equipo de WordPress, se continuan detectando peticiones a lo largo de distintas IPs que intentan acceder al código malicioso, específico a los plugins con backdoor. 

Este asunto volvió a llamar la atención recientemente cuando WordPress modificó el repositorio de plugins de manera que los plugins antiguos que se cerraron pueden verse aún. Anteriormente no eran visibles al público.

La nueva versión del repositorio cuenta con la posibilidad de observar las instalaciones activas del plugin y a pesar de que los plugins fueron eliminaros para ser descargados por el público, cientos de sitios aún cuentan con ellos.

Podemos encontrar una lista de los plugins vulnerables de los que estamos hablando en este enlace. Entre ellos, encontramos 5 plugins de 2014 que siguen instalados en cientos de sitios.
Todos los sitios que estén haciendo uso de estos plugins pueden ser hackeados por un atacante que sepa lo que debe buscar y probablemente pertenezcan a proyectos abandonados desde hace un largo tiempo.




Expertos sugirieron avisar a los administradores de los sitios cuando existen actualizaciones de seguridad o tienen instalados plugins que son vulnerables o bien han sido eliminados del repositorio por incumplir la política. 
Según palabras de Mika Epstein, miembro del equipo de WordPress: "Si hacemos publica la vulnerabilidad sin un parche existente, ponemos a los usuarios en mayor riesgo. Si los atacantes conocen que existe un exploit, estos intentarán aprovecharlo lo más rápidamente posible." Por supuesto, los expertos no estaban alegres con esta contestación.

Un año después de estas declaraciones, el equipo de WordPress decidió tomar un camino diferente. Para combatir graves amenazas de seguridad, WordPress hará un rollback del plugin a la última versión segura que será instalada a la fuerza; afectando (presumiblemente) mínimamente a la funcionalidad del sitio pero manteniéndolo seguro.
Sin embargo, estas acciones son particulares del equipo de WordPress y solo se llevan a cabo con graves amenazas. 

Mientras tanto, los usuarios pueden instalar alguno de los muchos plugins de seguridad para detectar plugins antiguos con fallos de seguridad disponibles en el repositorio.


Fernando Díaz
fdiaz@hispasec.com

Más información:
Unfixed WordPress plugin vulnerabilities: