Los usuarios envían estas solicitudes utilizando recurso admin-ajax.php, que es un archivo que permite a los navegadores conectarse con el servidor de WordPress. Utiliza Ajax, una combinación de tecnología JavaScript y XML que crea interfaces de usuario más suaves. Este sistema apareció por primera vez en WordPress 3.6 y permite que el sistema de gestión de contenido ofrezca un mejor guardado automático y seguimiento de revisión, entre otras cosas.
El complemento GDPR también permite que los usuarios lo configuren a través de admin-ajax.php, y ahí es donde comienza el problema. Los atacantes pueden enviarle comandos maliciosos, que almacena y ejecuta. Pueden usar esto para desencadenar acciones propias de WordPress.
Wordfence, la empresa de seguridad de WordPress que descubrió el problema, dijo que los atacantes lo estaban explotando de dos maneras.
En la primera, los atacantes crearon cuentas administrativas al permitir que los nuevos usuarios se registren y luego modifiquen una configuración para hacerlos administradores automáticamente. Luego instalaron un complemento malicioso que infectó el sitio con malware. Los atacantes utilizaban este método para instalar una shell web PHP: una secuencia de comandos que les brinda capacidades de administración remota en el servidor web, que les proporcionó acceso a la terminal y un administrador de archivos, informó Wordfence.
En el segundo exploit, los atacantes cargaron una serie de tareas programadas a través de WP-Cron. Cron es un sistema de programación de tareas común que maneja trabajos en sistemas Unix, y WP-Cron es la forma en que WordPress maneja las tareas programadas.
Este ataque, que es más complejo que el primero, utilizó el complemento de comercio electrónico WooCommerce, que es uno de los complementos compatibles con WP GDPR Compliance. Secuestró una función de WooCommerce para instalar otro complemento llamado Autocódigo de 2MB. Este complemento permite a los administradores inyectar su propio código PHP en las publicaciones de WordPress.
Los atacantes utilizaron este ataque para inyectar un script de puerta trasera PHP que descargó código de otro sitio. El complemento de autocódigo de 2MB se eliminó a sí mismo.
Wordfence no pudo encontrar ninguna carga útil ejecutable obvia en este ataque, pero dijo que los atacantes podrían estar construyendo una colección de sitios web y esperando su momento:
Es posible que estos atacantes estén almacenando hosts infectados para empaquetarlos y venderlos al por mayor a otro actor que tenga sus propias intenciones. También existe la posibilidad de que estos atacantes tengan sus propios objetivos en mente, pero aún no han lanzado esa fase del ataque.
Los desarrolladores de complementos corrigieron la falla luego de que el equipo de seguridad de WordPress eliminó el complemento del directorio de WordPress. Desde entonces, el equipo de WordPress una vez más lo ha hecho público.
Sin embargo, algunos usuarios no fueron lo suficientemente rápidos para actualizar sus sistemas. Una publicada en el foro de soporte del complemento:
No fui lo suficientemente rápido para actualizar y he sido golpeado con el truco de WP GDPR Compliance Plugin. El sitio web ahora está fuera de error HTTP 500.
Fuentes:
https://nakedsecurity.sophos.com/2018/11/13/wordpress-gdpr-compliance-plugin-hacked/
https://www.wordfence.com/blog/2018/11/privilege-escalation-flaw-in-wp-gdpr-compliance-plugin-exploited-in-the-wild/
https://www.wordfence.com/blog/2018/11/trends-following-vulnerability-in-wp-gdpr-compliance-plugin/
No hay comentarios:
Publicar un comentario