Investigadores de AVAST Virus Labs han visto un incremento de las infecciones de malware dentro de los sitios webs que utilizan WordPress, la  aplicación de código abierto usada frecuentemente por los bloggers y auto-editores, debido a una vulnerabilidad en un complemento (plugin) de imágenes y los manejos deficientes de las credenciales.

A comienzos de octubre los investigadores de Avast fueron contactados por varios usuarios que habían sido infectados por la pagina web http://www.thejournal.fr/ el sitio de Internet del The Poitou-Charentes Journal. En adición el operador de ese sitio se contacto con Avast para determinar porque el programa antivirus Avast! estaba bloqueando a los visitantes de su sitio que supuestamente habían “comprobado y limpiado” con un escaner externo.

El equipo de investigadores de Avast detectó infecciones parecidas en otros sitios que usan WordPress. Jan Sirmer, investigador senior del Avast Virus Lab. Dijo: “Lo del “The Poitou-Charentes Journal” es solo una parte de un ataque mucho más grande”. Y agrego: “Estos sitios comprometidos son parte de una red que redirigen a los usuarios vulnerables a sitios que distribuyen una variedad de malware”.

El Sr. Sirmer trabajó con el propietario del sitio para reunir mayor información sobre cómo fue comprometido este sitio web y adonde habían sido redirigidos los usuarios vulnerables cuando visitaron el sitio. Pudo determinar que la fuente de la infección fue un archivo PHP (UPD.PHP) que fue subido a través de una vulnerabilidad de seguridad en Timthumb, una herramienta para cambiar el tamaño de las imágenes usada por desarrolladores para crear temas para sitios que usan WordPresss. Se cree que un hacker comprometió las credenciales de inicio de sesión débiles usadas por los administradores WordPress para el FTP de alojamiento del sitio previo a subir y ejecutar los archivos PHP.

La infección fue el trabajo de cibercriminales usando el Toolkit Blackhole, un conjunto de herramientas de malware disponible en el mercado negro.  El Sr. Sirmer dijo: “TheJournal.fr y sus lectores con seguridad no fueron los únicos blancos, este es un problema más grande en la seguridad de WordPress”. Y agrego: “Hemos registrado 151.000 hits a una de las ubicaciones donde son redirigidos los usuarios víctimas de esta explotación. También bloqueamos redirecciones de 3.500 sitios únicos del 28 al 31 de agosto – los tres primeros días en que surgió esta infección – que llevó a esta explotación. Durante Septiembre, bloqueamos redirecciones desde 2.515 sitios y esperamos que en Octubre los resultados sean similares”. Hay más detalles del Toolkit en este post del Sr. Sirmer en el blog de Avast.

El Sr. Sirmer descubrió y removió varias infecciones JavaScript y un Troyano Backdoor del sitio TheJournal.fr mientras hacia su investigación. En este caso, el problema fue inadvertido porque el sitio estaba alojado y administrado por un tercero.   Y con respecto a esto el Sr Sirmer dijo: “El propietario del sitio se dio cuenta de la infección solo porque los visitantes del sitio que corrían Avast! fueron bloqueados de visitar el sitio como parte de la protección. De modo que incluso si uno externaliza los servicios de TI, es a menudo una buena idea visitar su propio blog con un AV que tenga un escaneo activo para estar seguro que no está infectado o siendo bloqueado”. Agregando que: “Y, cambie sus contraseñas de FTP, y no las salve en la PC porque este malware a menudo es capaz de extraer las contraseñas de los clientes FTP habituales.

Sirmer  dijo: “WordPress no es inmune a la explotación – un hecho impulsado por su popularidad global y gran número de versiones disponibles,”. Sin embargo, destaco que este no es un problema específico con WordPress en sí, sino el resultado de un programa de un complemento desactualizado y un pobre manejo de las contraseñas por parte de los administradores del sitio. Este problema pone de manifiesto que los login fáciles de craquear y los detalles de las contraseñas de los servidores FTP subyacentes pueden acarrear problemas. “Un login y contraseñas más fuertes, solas o junto con dos factores de autenticación, son opciones que deberían usar los administradores de sistemas cuando trabajan con terceras partes de administradores de TI”.

Fuente: Segu Info News

Anuncios