{"id":18791,"date":"2020-09-03T11:42:47","date_gmt":"2020-09-03T08:42:47","guid":{"rendered":"http:\/\/content.freeplanetvpn.com\/?p=18791"},"modified":"2022-05-31T16:18:58","modified_gmt":"2022-05-31T13:18:58","slug":"los-hackers-estan-explotando-un-fallo-critico-que-afecta-a-mas-de-350-000-sitios-de-wordpress","status":"publish","type":"post","link":"https:\/\/freevpnplanet.com\/es\/blog\/los-hackers-estan-explotando-un-fallo-critico-que-afecta-a-mas-de-350-000-sitios-de-wordpress\/","title":{"rendered":"Los hackers explotan vulnerabilidades cr\u00edticas en los sitios de WordPress"},"content":{"rendered":"

\"WordPress<\/p>\n

Los hackers est\u00e1n explotando activamente una vulnerabilidad que les permite ejecutar comandos y scripts maliciosos en sitios web que ejecutan File Manager<\/a>, un plugin de WordPress con m\u00e1s de 700.000 instalaciones activas, dijeron los investigadores el martes. La noticia de los ataques lleg\u00f3 unas horas despu\u00e9s de que la falla de seguridad fuera reparada.<\/p>\n

Los atacantes est\u00e1n usando el exploit para subir archivos que contienen webhells que est\u00e1n escondidos en una imagen. Desde all\u00ed, tienen una conveniente interfaz que les permite ejecutar comandos en los plugins\/wp-file-manager\/lib\/files\/, el directorio donde reside el plugin File Manager. Si bien esa restricci\u00f3n impide a los hackers ejecutar comandos en archivos fuera del directorio, los hackers pueden ser capaces de causar m\u00e1s da\u00f1o cargando scripts que pueden llevar a cabo acciones en otras partes de un sitio vulnerable.<\/p>\n

NinTechNet, una empresa de seguridad de sitios web de Bangkok (Tailandia), fue una de las primeras en informar sobre los ataques in-the-wild<\/a>. En el post se dec\u00eda que un pirata inform\u00e1tico estaba explotando la vulnerabilidad para subir un script titulado hardfork.php y luego utilizarlo para inyectar c\u00f3digo en los scripts de WordPress \/wp-admin\/admin-ajax.php y \/wp-includes\/user.php.<\/p>\n

Backdooring de sitios vulnerables a escala<\/h2>\n

En un correo electr\u00f3nico, el CEO de NinTechNet, Jerome Bruandet, escribi\u00f3:
\nEs un poco pronto para saber el impacto, porque cuando atrapamos el ataque, los hackers s\u00f3lo intentaban hacer sitios web de puerta trasera. Sin embargo, una cosa interesante que notamos es que los atacantes estaban inyectando alg\u00fan c\u00f3digo para proteger el acceso al archivo vulnerable (connector.minimal.php) para que otros grupos de hackers no pudieran explotar la vulnerabilidad en los sitios que ya estaban infectados.<\/p>\n

Todos los comandos pueden ser ejecutados en la carpeta \/lib\/files (crear carpetas, borrar archivos, etc.), pero lo m\u00e1s importante es que pueden subir scripts PHP en esa carpeta tambi\u00e9n, y luego ejecutarlos y hacer lo que quieran en el blog.<\/p>\n

Hasta ahora, est\u00e1n subiendo “FilesMan”, otro gestor de archivos usado a menudo por los hackers. Este est\u00e1 muy ofuscado. En las pr\u00f3ximas horas y d\u00edas veremos exactamente lo que har\u00e1n, porque si protegieron el archivo vulnerable con una contrase\u00f1a para evitar que otros hackers exploten la vulnerabilidad, es probable que esperen volver a visitar los sitios infectados.<\/p><\/blockquote>\n

La empresa de seguridad de sitios web Wordfence, por su parte, dijo en su propio post<\/a> que hab\u00eda bloqueado m\u00e1s de 450.000 intentos de explotaci\u00f3n en los \u00faltimos d\u00edas. El post dec\u00eda que los atacantes est\u00e1n tratando de inyectar varios archivos. En algunos casos, esos archivos estaban vac\u00edos, muy probablemente en un intento de sondear sitios vulnerables y, si ten\u00edan \u00e9xito, inyectar un archivo malicioso m\u00e1s tarde. Los archivos que se sub\u00edan ten\u00edan nombres como hardfork.php, hardfind.php y x.php.<\/p>\n

“Un plugin de gesti\u00f3n de archivos como este har\u00eda posible que un atacante manipulara o subiera cualquier archivo de su elecci\u00f3n directamente desde el panel de control de WordPress, permiti\u00e9ndole potencialmente escalar privilegios una vez en el \u00e1rea de administraci\u00f3n del sitio”, escribi\u00f3 Chloe Chamberland, una investigadora de la firma de seguridad Wordfence, en el post del martes. “Por ejemplo, un atacante podr\u00eda acceder al \u00e1rea de administraci\u00f3n del sitio usando una contrase\u00f1a comprometida, y luego acceder a este plugin y subir un webhell para hacer una enumeraci\u00f3n m\u00e1s detallada del servidor y potencialmente escalar su ataque usando otro exploit”.<\/p>\n

52% de 700.000 = potencial de da\u00f1o<\/h3>\n

El plugin File Manager ayuda a los administradores a gestionar los archivos de los sitios que ejecutan el sistema de gesti\u00f3n de contenidos de WordPress. El plugin contiene un gestor de archivos adicional conocido como elFinder, una biblioteca de c\u00f3digo abierto que proporciona la funcionalidad principal del plugin, junto con una interfaz de usuario para utilizarlo. La vulnerabilidad surge de la forma en que el plugin implement\u00f3 elFinder.<\/p>\n

Para proteger sus datos de la vigilancia de Internet y mantenerlos an\u00f3nimos – \u00a1utilice Planet FreeVPN<\/a> en sus dispositivos ahora!<\/div><\/div>\n

“El n\u00facleo del problema comenz\u00f3 con el plugin del Gestor de Archivos renombrando la extensi\u00f3n del archivo conector.minimal.php.dist<\/code> de la biblioteca de elFinder a .php para que pudiera ser ejecutado directamente, aunque el archivo conector no fuera utilizado por el propio Gestor de Archivos”, explic\u00f3 Chamberland. “Esas bibliotecas suelen incluir archivos de ejemplo que no est\u00e1n pensados para ser utilizados ‘tal cual’ sin a\u00f1adir controles de acceso, y este archivo no ten\u00eda restricciones de acceso directo, lo que significa que cualquiera pod\u00eda acceder al archivo. Este archivo pod\u00eda utilizarse para iniciar un comando de elFinder y estaba enganchado al archivo elFinderConnector.class.php”.<\/p>\n

Sal Aguilar, un contratista que crea y asegura los sitios de WordPress, se meti\u00f3 en Twitter<\/a> para advertir de los ataques que est\u00e1 viendo.
\n

“\u00a1\u00a1\u00a1Oh mierda!!!” escribi\u00f3. “La vulnerabilidad del Administrador de Archivos WP es GRAVE. Se est\u00e1 propagando r\u00e1pidamente y estoy viendo cientos de sitios que se est\u00e1n infectando. El malware est\u00e1 siendo subido a \/wp-content\/plugins\/wp-file-manager\/lib\/files.”<\/div><\/div><\/p>\n

El fallo de seguridad est\u00e1 en las versiones del Administrador de Archivos que van de la 6.0 a la 6.8. Las estad\u00edsticas de WordPress<\/a> muestran que actualmente cerca del 52 por ciento de las instalaciones son vulnerables. Con m\u00e1s de la mitad de la base instalada del Administrador de Archivos de 700.000 sitios vulnerables, el potencial de da\u00f1o es alto. Los sitios que ejecutan cualquiera de estas versiones deben actualizarse a 6.9 tan<\/a> pronto como sea posible.<\/p>\n