El proveedor de antivirus Dr Web ha descubierto un programa malicioso dirigido a sitios de WordPress que funcionan con Linux. El malware consta de dos variantes y puede llevar a cabo ataques utilizando plugins obsoletos. La primera variante, Linux.BackDoor.WordPressExploit.1, está dirigida a las versiones de 32 y 64 bits del sistema operativo de código abierto.
Linux.BackDoor.WordPressExploit.1 es una puerta trasera controlada remotamente por actores maliciosos. A sus órdenes, puede realizar las siguientes acciones:
- Atacar una página web concreta (sitio web);
- Cambia al modo de espera;
- Se cierra sola;
- Interrumpiendo el registro de sus acciones.
«Si los sitios utilizan versiones obsoletas de dichos plugins, a las que les faltan correcciones cruciales, las páginas web objetivo se inyectan con JavaScripts maliciosos», afirmó el proveedor de seguridad ruso Doctor Web en un informe publicado la semana pasada. «Como resultado, cuando los usuarios hacen clic en cualquier parte de una página atacada, son redirigidos a otros sitios».
Los ataques consisten en una lista de vulnerabilidades de seguridad conocidas en 19 plugins y temas diferentes instalados en un sitio de WordPress.
También es capaz de inyectar código JavaScript recuperado de un servidor remoto para redirigir a los visitantes del sitio a un sitio web arbitrario del atacante.
Doctor Web afirma haber descubierto una segunda versión del backdoor, que utiliza un nuevo dominio de comando y control (C2), así como una lista actualizada de fallos que incluye 11 plugins adicionales, con lo que el total asciende a 30.
La nueva lista de plugins y temas es la siguiente –
Nota: no se indican versiones. Así que asegúrate siempre de utilizar la última versión de plugins y temas.
- Soporte de chat en vivo WP
- Yuzo Related Posts
- Lápiz amarillo Editor visual de estilos CSS
- Easy WP SMTP
- Cumplimiento del GDPR de WP
- Periódico(CVE-2016-10972)
- Thim Core
- Smart Google Code Inserter(descatalogado a partir del 28 de enero de 2022)
- Total de donaciones
- Publicar plantillas personalizadas Lite
- WP Quick Booking Manager
- Chat en directo con Messenger Customer Chat by Zotabox
- Diseñador de blogs
- FAQ de WordPress Ultimate(CVE-2019-17232 y CVE-2019-17233)
- Integración WP-Matomo (WP-Piwik)
- Códigos cortos ND
- Chat en vivo WP
- Página Coming Soon y modo de mantenimiento
- Híbrido
- Brizy
- Reproductor de vídeo FV Flowplayer
- WooCommerce
- Página Coming Soon y modo de mantenimiento
- Onetone
- Campos simples
- Delucks SEO
- Creador de encuestas, formularios y cuestionarios de OpinionStage
- Rastreador de métricas sociales
- WPeMatico RSS Feed Fetcher, y
- Reseñas de Rich
Se dice que ambas variantes incluyen un método aún por implementar para forzar las cuentas de administrador de WordPress, aunque no está claro si se trata de un remanente de una versión anterior o de una función que aún no ha visto la luz.
«Si dicha opción se implementa en versiones más recientes del backdoor, los ciberdelincuentes podrán incluso atacar con éxito algunos de esos sitios web utilizando versiones actuales de plugins con vulnerabilidades parcheadas», afirma la compañía.
Se recomienda a los usuarios de WordPress que lleven a cabo un buen mantenimiento, actualizaciones del núcleo, incluidos los plugins de terceros y, por supuesto, los temas. También se aconseja utilizar nombres de usuario y contraseñas fuertes y únicos para proteger las cuentas.
La revelación se produce unas semanas después de que Fortinet FortiGuard Labs revelara otra botnet llamada GoTrim, diseñada para forzar sitios web autoalojados que ejecutan el sistema de gestión de contenidos (CMS) WordPress para tomar el control de los sistemas objetivo.
Hace dos meses, Sucuri descubrió que más de 15.000 sitios de WordPress se habían visto afectados como parte de una campaña maliciosa para redirigir a los visitantes a falsos portales de preguntas y respuestas. El número de infecciones activas asciende actualmente a 9.314.
Fuentes:
Lea aquí el artículo en inglés de Doctor Web
Más información sobre Linux.BackDoor.WordPressExploit.1 aquí
Más información sobre Linux.BackDoor.WordPressExploit.2 aquí
