Sitios webs basados en la plataforma WordPress son atacados en forma generalizada.



Los intrusos en las últimas semanas han hackeado un gran número de sitios web creados a través de la plataforma de blogs WordPress para propagar malware, con otra gran campaña lanzada el jueves, dijeron investigadores de seguridad.

Regina Smola co-fundadora de WPSecurityLock un proveedor de servicios de seguridad de WordPress le dijo a SCMagazineUS.com el martes que además de los blogs de WordPress, sitios web creados con otras plataformas basadas en PHP, incluyendo la solución de Zen Cart eCommerce, se vieron afectados por los ataques,. Añadió que tener un programa antivirus actualizado bloquearía la ejecución del programa scareware (falso antivirus). Smola dijo que un ataque de fuerza bruta contra las contraseñas es posible. “He encontrado que el 99 por ciento de los sitios que hemos visto y arreglado habían contraseñas muy débiles a su FTP y sus cuentas de alojamiento”, dijo.

Ella dijo que los atacantes inyectan JavaScript malicioso en los sitios causando que los visitantes sean redirigiros a dominios de scareware que intentaron engañar a los usuarios para instalar un virus. Esto es sólo la última oleada de ataques contra sitios webs de WordPress que han sido constantes durante el pasado mes, dijo Smola. En un ataque anterior, lanzado a principios de este mes, se vieron afectadas más de 40.000 sitios de WordPress, dijo.

Decenas de miles de sitios legítimos se cree que se verán afectados.

Al visitar uno de los sitios comprometidos, los usuarios de Internet Explorer ó Chrome fueron redirigidos a sitios de falsos antivirus (rogue), David Dede director investigador de seguridad del proveedor Sucuri Security de soluciones de detección de malware le dijo a SCMagazineUS.com el martes que los usuarios de Firefox no se vieron afectados. Agrego que todos los archivos PHP en los sitios afectados fueron modificados. El código JavaScript malicioso cargado con el malware del falso antivirus fue desde los dos dominios en este caso indesignstudioinfo.com/ls.php y zettapetta.com/js.php.

Dede agrego que “El dolor de los usuarios es que cada uno de los archivos se ha infectado”. “En un sitio normal de WordPress, es limpiar alrededor de 1.000 archivos”. Los sitios de hosting afectados fueron de varios ISPs que incluyen a DreamHost, GoDaddy, BlueHost, Media temple y HostGator añadió el investigador. Todos los sitios hackeados fueron los que utilizan proveedores de hospedaje compartido, los analistas no tienen acceso a los registros de sistema y no fueron capaces de llevar a cabo una investigación forense completa.

Como resultado los expertos no están seguros de cómo los sitios fueron comprometidos, Los atacantes pueden haber utilizado un FTP robado ó contraseñas de WordPress lanzando un ataque de fuerza bruta contra las mismas ó aprovechando una vulnerabilidad ya sea en el mismo WordPress ó un plug-in escribió Dede en un blog el viernes.

Todd Redfoot, CISO de GoDaddy dijo en una declaración enviada a WPSecurityLock que el ataque fue dirigido a sitios webs que ejecutan obsoletas versiones de WordPress y otras aplicaciones en línea. Sin embargo, Dede dijo que un número de sitios ejecutando la última versión de WordPress también habían sido comprometidos. No parece que los atacantes tomaran ventaja de una vulnerabilidad desconocida en WordPress porque, si fuera así, las hazañas serían más generalizadas, añadió.

Otros han especulado que el ataque puede que haya aprovechado una vulnerabilidad ´cero day ` en phpMyAdmin, una herramienta de código abierto que permite a los usuarios interactuar con sus bases de datos MySQL, dijo Dede. Pero no hay pruebas de ello.

WPSecurityLock ha publicado instrucciones para eliminar la infección y Sucuri Security ha publicado scripts para automatizar el proceso.

En abril, surgieron informes que habían sido atacados algunos sitios de WordPress para redirigir a los usuarios a sitios Web maliciosos, en ese caso, aparecieron que los sitios de destino tenían hosting de Network Solutions. Matt Mullenweg el creador de WordPress posteriormente echo la culpa a servidores web configurados incorrectamente y dijo que es responsabilidad del alojamiento.

Mullenweg, dijo que “WordPress, como todas las otras aplicaciones web, debe almacenar información de conexión de base de datos en texto sin cifrar”. Agrego además que “cifrar las credenciales no importa porque las claves se tienen que almacenar en el servidor web y que puedan ser leídas en orden para descifrar los datos. Si un usuario malintencionado tiene acceso al sistema de archivos (como lo que parecía ser en este caso) es trivial para obtener las claves y descifrar la información. ¿Cuando dejas las llaves de la puerta en la cerradura, lo ayuda a bloquear la puerta?”.

Representantes de Network Solutions están en desacuerdo.

“Este problema no es aislado a Network Solutions, tampoco es un problema de los servidores de Network Solutions ” dijo una portavoz a SCMagazineUS.com en un correo electrónico. “Estamos trabajando con los expertos en la comunidad de WordPress y comprender que es un problema con un plug-in ó un tema de WordPress y está afectando a un número de sitios web alojados en diversas plataformas de alojamiento(hosting).

La más reciente oleada de ataques de WordPress puede estar vinculada a sitios web recientemente comprometidos pertenecientes a la Secretaría de Hacienda de Estados Unidos que intentaban explotar vulnerabilidades por el lado del cliente para distribuir malware, dijo en un blog Dancho Danchev un analista independiente.

“Había una intrusión en la empresa de alojamiento utilizada por el (Departamento del Tesoro)Buro de Grabado y Impresión, y como resultado de esa intrusión se vieron afectados numerosos sitios Web ” dijo Danchev en una declaración enviada por correo electrónico a SCMagazineUS.com.

El Departamento del Tesoro no nombro el proveedor de hosting en la instrucción, pero los investigadores dicen que es Network Solutions.


Traducción: Velcro

Autor: Angela Moscaritolo
Fuente: SC MagazineUS