Instalaciones de WordPress bajo ataques de fuerza bruta

Está sucediendo un ataque contra algunas implementaciones de WordPress que están intentando hallar por ataque de fuerza bruta la contraseña de los administradores de las instalaciones. El ataque está siendo llevado a cabo por un script automatizado de PHP que intenta miles de posibles contraseñas.

El Centro de Tormentas de Internet SANS (ISC )ha publicado un análisis del script de ataque a WordPress, que fue encontrado en un servidor virtual privado. El script tiene la capacidad adicional de permitir que un atacante lo ejecute en un número de servidores diferentes al mismo tiempo, ya que las contraseñas que intenta están almacenadas en una base de datos MySQL que puede ser accedida remotamente.

La funcion wp_brute_attempt() toma 3 parámetros, $ch que es la estuctura cURL (cURL es una herramienta de línea de comando que se puede usar para realizar peticiones HTTP ). Los otros dos parámetros definen el sitio y la contraseña que se intentará. Si el script consigue validarse exitosamente, la página que es devuelta por el servidor contendrá la frase "Log Out", y la función devolverá el valor verdadero.

Ahora, lo interesante del script es que permite el cracking distribuido. La información es guardada en una base de datos MySQL y el script realmente se conecta en forma directa a la base de datos principal. Esto permite al atacante correr varios scripts simultáneos - cada uno de ellos tomará 200 URL nuevas y las marcará con el ID del script forzador ($colo)

Se ha hallado en los últimos meses que WordPress, una plataforma de blogging popular, tiene una serie de vulnerabildades y los ataques contra la plataforma se han vuelto comunes. WordPress es usado en muchos entornos de blogging en corporaciones y también es usada por millones de bloggers individuales.

Traducción: Raúl Batista - Segu-info
Autor: Dennis Phisher
Fuente: threatpost