WP GDPR Compliance es un complemento (plugin) que permite a los propietarios de sitios web de WordPress agregar una casilla de verificación a sus sitios web. La casilla de verificación permite a los visitantes entregar sus datos para otorgar permiso a los propietarios del sitio para usarlos con un propósito definido, como manejar un pedido de un cliente. También permite a los visitantes solicitar copias de los datos que el sitio web tiene sobre ellos.




Los usuarios envían estas solicitudes utilizando recurso admin-ajax.php, que es un archivo que permite a los navegadores conectarse con el servidor de WordPress. Utiliza Ajax, una combinación de tecnología JavaScript y XML que crea interfaces de usuario más suaves. Este sistema apareció por primera vez en WordPress 3.6 y permite que el sistema de gestión de contenido ofrezca un mejor guardado automático y seguimiento de revisión, entre otras cosas.

El complemento GDPR también permite que los usuarios lo configuren a través de admin-ajax.php, y ahí es donde comienza el problema. Los atacantes pueden enviarle comandos maliciosos, que almacena y ejecuta. Pueden usar esto para desencadenar acciones propias de WordPress.





Wordfence, la empresa de seguridad de WordPress que descubrió el problema, dijo que los atacantes lo estaban explotando de dos maneras.

En la primera, los atacantes crearon cuentas administrativas al permitir que los nuevos usuarios se registren y luego modifiquen una configuración para hacerlos administradores automáticamente. Luego instalaron un complemento malicioso que infectó el sitio con malware. Los atacantes utilizaban este método para instalar una shell web PHP: una secuencia de comandos que les brinda capacidades de administración remota en el servidor web, que les proporcionó acceso a la terminal y un administrador de archivos, informó Wordfence.





En el segundo exploit, los atacantes cargaron una serie de tareas programadas a través de WP-Cron. Cron es un sistema de programación de tareas común que maneja trabajos en sistemas Unix, y WP-Cron es la forma en que WordPress maneja las tareas programadas.

Este ataque, que es más complejo que el primero, utilizó el complemento de comercio electrónico WooCommerce, que es uno de los complementos compatibles con WP GDPR Compliance. Secuestró una función de WooCommerce para instalar otro complemento llamado Autocódigo de 2MB. Este complemento permite a los administradores inyectar su propio código PHP en las publicaciones de WordPress.

Los atacantes utilizaron este ataque para inyectar un script de puerta trasera PHP que descargó código de otro sitio. El complemento de autocódigo de 2MB se eliminó a sí mismo.

Wordfence no pudo encontrar ninguna carga útil ejecutable obvia en este ataque, pero dijo que los atacantes podrían estar construyendo una colección de sitios web y esperando su momento:

Es posible que estos atacantes estén almacenando hosts infectados para empaquetarlos y venderlos al por mayor a otro actor que tenga sus propias intenciones. También existe la posibilidad de que estos atacantes tengan sus propios objetivos en mente, pero aún no han lanzado esa fase del ataque.

Los desarrolladores de complementos corrigieron la falla luego de que el equipo de seguridad de WordPress eliminó el complemento del directorio de WordPress. Desde entonces, el equipo de WordPress una vez más lo ha hecho público.

Sin embargo, algunos usuarios no fueron lo suficientemente rápidos para actualizar sus sistemas. Una publicada en el foro de soporte del complemento:

No fui lo suficientemente rápido para actualizar y he sido golpeado con el truco de WP GDPR Compliance Plugin. El sitio web ahora está fuera de error HTTP 500.


Fuentes:
https://nakedsecurity.sophos.com/2018/11/13/wordpress-gdpr-compliance-plugin-hacked/
https://www.wordfence.com/blog/2018/11/privilege-escalation-flaw-in-wp-gdpr-compliance-plugin-exploited-in-the-wild/
https://www.wordfence.com/blog/2018/11/trends-following-vulnerability-in-wp-gdpr-compliance-plugin/