Plugins de WordPress con malware

3 de noviembre de 2011

Investigadores de AVAST Virus Labs han observado un aumento de las infecciones de malware dentro de los sitios WordPress, una aplicación de código abierto usada frecuentemente por los bloggers, debido a una vulnerabilidad en un plugin de imágenes y las deficientes gestiones de los datos de entrada administrativa.

A comienzos de octubre los investigadores de Avast fueron contactados por varios usuarios que habían sido infectados por el sitio http://www.thejournal.fr, el sitio en Internet del The Poitou-Charentes Journal. Por otro lado el operador de ese sitio se comunicó con Avast para determinar por qué el programa antivirus avast! estaba bloqueando a los visitantes de su sitio que supuestamente habían "verificado y limpiado" con un escáner externo.

El equipo de investigadores de Avast detectó infecciones parecidas en otros sitios WordPress. Lo del "The Poitou-Charentes Journal" es solo una parte de un ataque mucho más grande," dijo Jan Sirmer, investigador senior del Avast Virus Lab. "Estos sitios comprometidos son parte de una red que redirige a los usuarios vulnerables a webs que distribuyen variedad de malware."

El Sr. Sirmer trabajó con el propietario del sitio para reunir más información sobre cómo fue comprometido este sitio web y a dónde habían sido redirigidos los usuarios vulnerables cuando visitaron el sitio. Se determinó que el origen de la infección fue un archivo PHP (upd.php) que fue subido gracias a una vulnerabilidad en Timthumb, una herramienta destinada a cambiar el tamaño de las imágenes usada por desarrolladores para crear temas de los sitios WordPress. Se cree que un hacker comprometió las credenciales usadas por los administradores WordPress para el FTP de alojamiento del sitio previo a subir y ejecutar los archivos PHP.

La infección fue fruto de ciberdelincuentes que usaron el Toolkit Blackhole, un conjunto de herramientas de malware disponible en el mercado negro. "TheJournal.fr y sus lectores no fueron los únicos objetivos, este es un problema más grande todavía en la seguridad referente a WordPress," dice el Sr. Sirmer. Hemos registrado 151.000 hits a una de las ubicaciones donde son redirigidos los usuarios víctimas de esta vulnerabilidad. También bloqueamos redirecciones de 3.500 sitios únicos del 28 al 31 de agosto, los tres primeros días en que surgió esta infección. Durante Septiembre, bloqueamos redirecciones desde 2.515 sitios y esperamos que en Octubre los resultados serán análogos.

El Sr. Sirmer descubrió y eliminó varias infecciones JavaScript y un Troyano Backdoor del sitio TheJournal.fr durante su investigación. En este caso, el problema pasó desapercibido porque el sitio estaba alojado y administrado por un tercero. "El propietario del sitio se dio cuenta de la infección sólo porque los visitantes del sitio que tenían avast! fueron bloqueados al visitar el sitio como parte de la protección. "De modo que si incluso uno contrata los servicios de TI de su empresa a terceros, es una buena idea visitar su propio blog con un antivirus que tenga un escudo de páginas web para estar seguro que no esté infectado o siendo bloqueado", dijo. "Y también cambie sus contraseñas de FTP, no las guarde en su ordenador porque este malware a menudo es capaz de extraer las contraseñas de los clientes FTP más utilizados.”

"WordPress nos es inmune los exploits debido a su popularidad y el amplio número de versiones disponibles," dijo Sirmer. Sin embargo, enfatizó que este no es un problema específico con WordPress en concreto, sino el resultado de un plugin desactualizado y un deficiente manejo de las contraseñas por parte de los administradores. Este problema pone de manifiesto que los datos de entrada fáciles de romper y los detalles de las contraseñas de los servidores FTP pueden acarrear problemas. "Un login y contraseña más robustos, solos o junto a otros factores de autenticación, son opciones que deberían usar los administradores de sistemas cuando trabajan con administradores de TI subcontratados."

Copyright © 2005-2020 Anti-Virus.es Todos los derechos reservados. Aviso legal - Avast y sus logos son marcas registradas de Avast Software, s.r.o.

licensemap-markerlaptop-phonemenu-circlecross-circlearrow-left-circlearrow-right-circlelayers linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram