Plugin de Wordpress lleva a un agujero negro de malware
Praga, República Checa, 31 de Octubre de 2011- Investigadores de AVAST Virus Labs han visto un aumento de las infecciones de malware dentro de los sitios WordPress, una aplicación de código abierto usada frecuentemente por los bloggers, debido a una vulnerabilidad en un plugin de imagenes y los deficientes manejos de las credenciales.
A comienzos de octubre los investigadores de Avast fueron contactados por varios usuarios que habían sido infectados por el sitio http://www.thejournal.fr/ el sitio Internet del The Poitou-Charentes Journal. Por otro lado el operador del ese sitio se comunicó con Avast para determinar porque el programa antivirus avast! estaba bloqueando a los visitantes de su sitio que supuestamente habían "verificado y limpiado" con un escaner externo.
El equipo de investigadores de Avast detectó infecciones parecidas en otros sitios WordPress. Lo del "The Poitou-Charentes Journal" es solo una parte de un ataque mucho más grande," dijo Jan Sirmer, investigador senior del Avast Virus Lab. "Estos sitios comprometidos son parte de una red que redirigen a los usuarios vulnerables a sitios que distribuyen una variedad de malware."
El Sr. Sirmer trabajó con el propietario del sitio para reunir mayor información sobre como fue comprometido este sitio web y adonde han sidor redirigidos los usuarios vulnerables cuando visitaron el sitio. Pudo determinar que la fuente de la infección fue un archivo PHP (UPD.PHP) que fue subido gracias a una vulnerabilidad en Timthumb, una herramienta para cambiar el tamaño de las imágenes usada por desarrolladores para crear temas de los sitios WordPresss. Se cree que un hacker comprometió las credenciales débiles usadas por los administradores WordPress para el FTP de alojamiento del sitio previo a subir y ejecutar los archivos PHP.
La infección fue el trabajo de cibercriminales usando el Toolkit Blackhole, un conjunto de herramientas de malware disponible en el mercado negro. "TheJournal.fr y sus lectores con seguridad no fueron los únicos blancos, este es un problema más grande en la seguridad de WordPress," dice el Sr. Sirmer. Hemos registrado 151.000 hits a una de las ubicaciones donde son redirigidos los usuarios víctimas de esta explotación. También bloqueamos redirecciones de 3.500 sitios únicos del 28 al 31 de agosto - los tres primeros días en que surgió esta infección - que llevó a esta explotación. Durante Septiembre, bloqueamos redirecciones desde 2.515 sitios y esperamos que en Octubre los resultados serán similares. Hay más detalles del Toolkit en el blog del Sr. Sirmer.
El Sr. Sirmer descubrió y eliminó varias infecciones JavaScript y un Troyano Backdoor del sitio TheJournal.fr durante su investigación. En este caso, el problema paso desapercibido porque el sitio estaba alojado y administrado por un tercero. "El propietario del sitio se dio cuenta de la infección solo porque los visitantes del sitio que corrían avast! fueron bloqueados de visitar el sitio como parte de la protección. "De modo que si incluso uno terceriza los servicios de TI, es a menudo una buena idea visitar su propio blog con un AV que tenga un escaneo activo para estar seguro que no esté infectado o siendo bloqueado", dijo. "Y, cambie sus contraseñas de FTP, y no las guarde en la PC porque este malware a menudo es capaz de extraer las contraseñas de los clientes FTP habituales.
"WordPress nos es inmune a la explotación - un hecho por su popularidad y el amplio numero de versiones disponibles," dijo Sirmer. Sin embargo, enfatizó que este no es un problema específico con WordPress en si mismo, sino el resultado de un plugin desactualizado y un pobre manejo de las contraseñas por parte de los administradores. Este problema pone de manifiesto que los login fáciles de romper y los detalles de las contraseñas de los servidores FTP subyacentes pueden acarrear problemas. "Un login más robusto y las contraseñas claves, solas o junto a dos factores de autenticación, son opciones que deberían usar los administradores de sistemas cuando trabajan con administradores de TI tercerizados."
Traducción: Raúl Batista - Segu-Info
Fuente: avast! Blog
A comienzos de octubre los investigadores de Avast fueron contactados por varios usuarios que habían sido infectados por el sitio http://www.thejournal.fr/ el sitio Internet del The Poitou-Charentes Journal. Por otro lado el operador del ese sitio se comunicó con Avast para determinar porque el programa antivirus avast! estaba bloqueando a los visitantes de su sitio que supuestamente habían "verificado y limpiado" con un escaner externo.
El equipo de investigadores de Avast detectó infecciones parecidas en otros sitios WordPress. Lo del "The Poitou-Charentes Journal" es solo una parte de un ataque mucho más grande," dijo Jan Sirmer, investigador senior del Avast Virus Lab. "Estos sitios comprometidos son parte de una red que redirigen a los usuarios vulnerables a sitios que distribuyen una variedad de malware."
El Sr. Sirmer trabajó con el propietario del sitio para reunir mayor información sobre como fue comprometido este sitio web y adonde han sidor redirigidos los usuarios vulnerables cuando visitaron el sitio. Pudo determinar que la fuente de la infección fue un archivo PHP (UPD.PHP) que fue subido gracias a una vulnerabilidad en Timthumb, una herramienta para cambiar el tamaño de las imágenes usada por desarrolladores para crear temas de los sitios WordPresss. Se cree que un hacker comprometió las credenciales débiles usadas por los administradores WordPress para el FTP de alojamiento del sitio previo a subir y ejecutar los archivos PHP.
La infección fue el trabajo de cibercriminales usando el Toolkit Blackhole, un conjunto de herramientas de malware disponible en el mercado negro. "TheJournal.fr y sus lectores con seguridad no fueron los únicos blancos, este es un problema más grande en la seguridad de WordPress," dice el Sr. Sirmer. Hemos registrado 151.000 hits a una de las ubicaciones donde son redirigidos los usuarios víctimas de esta explotación. También bloqueamos redirecciones de 3.500 sitios únicos del 28 al 31 de agosto - los tres primeros días en que surgió esta infección - que llevó a esta explotación. Durante Septiembre, bloqueamos redirecciones desde 2.515 sitios y esperamos que en Octubre los resultados serán similares. Hay más detalles del Toolkit en el blog del Sr. Sirmer.
El Sr. Sirmer descubrió y eliminó varias infecciones JavaScript y un Troyano Backdoor del sitio TheJournal.fr durante su investigación. En este caso, el problema paso desapercibido porque el sitio estaba alojado y administrado por un tercero. "El propietario del sitio se dio cuenta de la infección solo porque los visitantes del sitio que corrían avast! fueron bloqueados de visitar el sitio como parte de la protección. "De modo que si incluso uno terceriza los servicios de TI, es a menudo una buena idea visitar su propio blog con un AV que tenga un escaneo activo para estar seguro que no esté infectado o siendo bloqueado", dijo. "Y, cambie sus contraseñas de FTP, y no las guarde en la PC porque este malware a menudo es capaz de extraer las contraseñas de los clientes FTP habituales.
"WordPress nos es inmune a la explotación - un hecho por su popularidad y el amplio numero de versiones disponibles," dijo Sirmer. Sin embargo, enfatizó que este no es un problema específico con WordPress en si mismo, sino el resultado de un plugin desactualizado y un pobre manejo de las contraseñas por parte de los administradores. Este problema pone de manifiesto que los login fáciles de romper y los detalles de las contraseñas de los servidores FTP subyacentes pueden acarrear problemas. "Un login más robusto y las contraseñas claves, solas o junto a dos factores de autenticación, son opciones que deberían usar los administradores de sistemas cuando trabajan con administradores de TI tercerizados."
Traducción: Raúl Batista - Segu-Info
Fuente: avast! Blog
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!