Un grupo de hackers está explotando vulnerabilidades en más de diez plugins de WordPress buscando crear cuentas de administrador falsas en sitios usando WordPress, el sistema de administración de contenidos más popular en el Internet.
Los ataques son parte de una campaña de hacking que comenzó el mes pasado. Durante ataques anteriores, los hackers explotaron vulnerabilidades en los mismos plugins para plantar malware en los sitios pirateados. Este código estaba destinado a mostrar anuncios emergentes o redirigir a los visitantes entrantes a otros sitios web.
Sin embargo, hace dos semanas, el grupo detrás de estos ataques cambió su táctica. Mikey Veenstra, analista de amenazas de la empresa de seguridad cibernética Defiant, dijo a ZDNet que a partir del 20 de agosto, el grupo de hackers modificó el malware plantado en sitios hackeados.
Pop-ups, Malware y Backdoors
En lugar de simplemente insertar ventanas emergentes (pop-ups) y redireccionamientos, el malware también ejecutó una función para probar si el visitante del sitio tenía la capacidad de crear cuentas de usuario en el sitio, una característica solo disponible para las cuentas de administrador de WordPress.
Básicamente, este malware esperaba que el propietario del sitio acceda a sus propios sitios web. Cuando lo hicieron, el malware creó una nueva cuenta de administrador llamada wpservices, utilizando la dirección de correo electrónico de wpservices@yandex.com y la contraseña de w0rdpr3ss .
Al crear estas cuentas, el grupo de hackers detrás de esta campaña cambió las tácticas de explotar sitios para obtener ganancias monetarias, para agregar también puertas traseras (backdoors) para uso futuro y para un punto de apoyo más persistente.
El ataque de los plugins
De acuerdo con Veenstra, estos ataques recientes apuntan a vulnerabilidades en los siguientes plugins de WordPress.
Los plugins están vinculados a sus respectivas vulnerabilidades, por lo que los lectores pueden determinar la versión que necesitan actualizar, para evitar ataques en caso de que estén utilizando uno de los plugins anteriormente mencionados.
Además de actualizar los anteriores plugins, también se recomienda a los propietarios de sitios que verifiquen los nombres de usuario de administrador registrados en sus sitios. La eliminación de estas cuentas previa a la actualización de los plugins es imprescindible, ya que su único propósito es crear un camino de regreso a los sitios web después de que los usuarios actualicen los plugins vulnerables.
Limpiar sitios infectados de WordPress puede ser bastante complicado, ya que los propietarios de sitios también tendrán que escanear sus sitios web con plugins de seguridad de WordPress en busca de otros mecanismos de puerta trasera que los hackers podrían haber dejado atrás. Se aconseja a los usuarios no técnicos que busquen ayuda profesional.
El jefe de seguridad de WordPress muestra los esfuerzos del equipo para mejorar la seguridad de casi un tercio de todos los sitios de Internet
Jefe de seguridad de WordPress anuncia nuevas medidas de ciberseguridad
Continuará el soporte a versiones anteriores, pero nuevo enfoque se centrará en poner al usuario sobre el software
Demuestra nueva solución para demostrar limpieza de puntaje
La mayor batalla del equipo de seguridad de WordPress no es contra los hackers sino contra sus propios usuarios, millones de los cuales continúan administrando sitios web en versiones anteriores del famoso CMS (Sistema de Administrador de Contenidos por sus siglas en Inglés), y que regularmente no aplican las actualizaciones al núcleo del CMS, los plugins o plantillas.
Hablando en la conferencia de seguridad cibernética de DerbyCon a principios de este mes, el líder del Equipo de Seguridad de WordPress, Aaron Campbell, le dio al público una idea de cómo el equipo de WordPress ha estado abordando este problema durante los últimos años.
Describió este proceso como un cambio de enfoque. Él dice que el equipo de WordPress decidió hace unos años que, en lugar de mantener el software seguro parcheando errores, se centrarían en mantener a los usuarios seguros, tanto a través del software como de sus acciones.
Los usuarios son más importantes que el software
«La primera lección que aprendimos fue que los usuarios son más importantes que el software», dijo Campbell frente a una audiencia en vivo.
«Hubo un par de cosas pequeñas en las que enfocarse en los usuarios nos brindó cierta claridad y se simplificó un poco», agregó.
El problema principal fue que millones de usuarios todavía utilizan versiones anteriores de WordPress para administrar sus sitios. Esas versiones anteriores eran técnicamente seguras, pero los usuarios que ejecutaban esos sitios enfrentaban más riesgos que los usuarios que ejecutaban versiones más recientes.
Un problema difícil de responder
Después de largas discusiones internas, el equipo de WordPress decidió seguir soportando estas versiones anteriores sin especificar un término en la vida útil de dichas versiones. El motivo principal es porque muchos usuarios todavía las están usando.
Esta decisión vino con sus inconvenientes y la más grande fue la necesidad de respaldar los parches de seguridad recientes para versiones anteriores de WordPress, algunas de las cuales tienen ya cinco años.
Campbell se quejó del proceso de respaldo de parches. «¡Realmente apesta! Pero es absolutamente lo mejor para nuestros usuarios. Y dado que es ahí donde establecemos la medida de nuestro éxito, eso es lo que hacemos».
«Estamos trabajando en posibles formas de reducir esa brecha, pero no queremos hacerlo eliminando el soporte para versiones anteriores que la gente todavía está usando», agregó.
«En lugar de eso, estamos trabajando para descubrir formas de actualizar esas versiones automáticamente sin romper los sitios de los usuarios, y esencialmente estamos trabajando para intentar eliminar de la existencia esas versiones en Internet y hacer que la gente avance.»
«No es un problema fácil de resolver, pero estamos trabajando en ello», dijo Campbell.
Una de las formas en que el equipo de WordPress ha estado abordando el problema de las versiones anteriores de WordPress es a través de las actualizaciones automáticas, un mecanismo introducido con WordPress 3.7, lanzado en 2013.
Las actualizaciones automáticas están activadas de forma predeterminada para todas las instalaciones nuevas y han desempeñado el papel más importante en mantener la mayor parte de la base de sitio de WordPress en las versiones más recientes, aunque algunos percentiles permanecen en las versiones anteriores de 3.xy 2.x
Una Industria Colaborativa
Para el resto de los usuarios, Campbell dice que el equipo de WordPress se está enfocando en la educación del usuario y las colaboraciones con la industria de la tecnología en general.
Por ejemplo, el equipo de seguridad de WordPress ha estado trabajando con Google para mostrar materiales de capacitación dentro del panel de la Consola de Búsqueda de Google, para advertir y ayudar a los usuarios a migrar a versiones anteriores de sus sitios.
El equipo de WordPress también ha creado una alerta que se muestra dentro del propio panel de WordPress. Esta alerta aparece cuando los usuarios están utilizando una versión anterior de PHP para sus sitios. La idea es que al atraer a los usuarios para que actualicen su entorno de alojamiento PHP, los usuarios también buscarán actualizar WordPress.
Pero además de centrarse en los usuarios de WordPress a las versiones recientes, el equipo de WordPress también ha trabajado para aumentar la seguridad de todo el ecosistema en su conjunto.
Campbell dice que el equipo de WordPress ha estado colaborando con los autores de los complementos más populares en su repositorio de complementos. Ha estado ayudando a estos complementos a seguir las mejores prácticas de codificación.
Esto ha producido grandes resultados, dijo Campbell, ya que los plugins más pequeños ahora han comenzado a seguir (o robar) las técnicas de codificación utilizadas por estos proyectos más grandes, e indirectamente han aumentado la seguridad de sus propios plugins.
Además, el equipo de seguridad de WordPress también ha estado trabajando con Google, XWP y algunas otras compañías en un proyecto llamado Tide que mostraría una calificación de cinco estrellas en cada plugin.
Llamada «puntuación Tide», esta clasificación está destinada a brindar a los usuarios un indicador de la calidad y seguridad del código delplugin, y si ese código respeta las técnicas modernas de codificación.
Campbell dice que el nombre del proyecto proviene del concepto de que «elevar las aguas en todas partes levanta todos los barcos».
Pero además de un cambio en el enfoque del software a los usuarios, el líder de seguridad de WordPress también admitió que también se necesitaban mejoras dentro del propio equipo de seguridad, que en los últimos años ha pasado por un proceso de modernización.
Uno de los temas que abordaron fue el de sus herramientas internas. Campbell dijo que el uso de sistemas obsoletos como listas de correo y canales de IRC ha llevado a muchas situaciones en las que investigadores externos informaron fallas de seguridad, pero a medida que las discusiones sobre cómo corregir el error de seguridad avanzaban dentro de la lista de correo interna, el investigador externo se mantuvo al margen del bucle.
Estos incidentes provocaron que los investigadores de seguridad concluyeran que el equipo de WordPress no se preocupa por los errores de seguridad, una opinión que a veces terminó en informes de noticias o enojadas críticas en las redes sociales.
Campbell dijo que el equipo de WordPress ha mejorado mucho con el tiempo en el manejo de informes de errores al cambiarse a herramientas más modernas como Slack, Trac o HackerOne, y al incorporar nuevas personas que quizás no eran tan buenas para corregir fallas de seguridad, pero que eran mejores en Comunicándose con investigadores externos.
Aquí el video por si te interesa.
WordPress es el sistema de gestión de contenido de sitios web más grande de la actualidad, con una cuota de mercado de casi el 60 por ciento entre todos los CMS, y actualmente está instalado en más del 32 por ciento de todos los sitios de Internet, según W3Techs.
