Vulnerabilidad de un plugin de WordPress permite una puerta trasera para sitios ejecutando Joomla y Magento también.

Cerca de 50,000 sitios web han sido dirigidos remotamente por atacantes que están explotando una vulnerabilidad que ha sido recientemente parchada de un plugin popular para WordPress.

La vulnerabilidad en el plugin MailPoet, popular con 1.7 millones de descargas, permite a los atacantes subir cualquier archivo que deseen en los servidores vulnerables. En 3 semanas los atacantes han hecho uso de la vulnerabilidad para instalar una puerta trasera en un estimado de 30,000 a 50,000 sitios web, algunos ni siquiera ejecutan WordPress o tienen el MailPoet activado de acuerdo a Daniel Cid de la firma Sucuri.

“Para ser claros, la vulnerabilidad de MailPoet es el punto de entrada”, “No significa que tu sitio web tiene que tenerlo activado o que lo tengas en el sitio web, si reside en el servidor, en un sitio web vecino, puede aún afectar tu sitio web”.

La inyección del código malware actualmente está tratando de comprometer todos los archivos PHP que pueda en el servidor. Si tu tienes un sitio en /var/www/site1.com con MailPoet y otro sitio en /var/www/site2.com sin él, el inyector de malware del site1.com tratará de comprometer site2.com también. Tenemos un cliente que le inyectaron más de 20 sitios porque un sitio dentro de la misma cuenta compartida  tenía MailPoet instalado. Esa es la razón por la que vemos sitios con Joomla o Magente vulnerados con el mismo malware. Nos tomó algún tiempo conectar los puntos y encontrar el punto de entrada en todos ellos.

Peter Gramantik de Sucuri reportó esta vulnerabilidad afectando WordPress el martes. El malware inyectado instala una cuenta “puerta trasera” que da a los atacantes completo control administrativo. Inyecta también un código “puerta trasera” en todos los temas y archivos núcleo. Empeorando las cosa el código malicioso también sobre escribe archivos válidos, un efecto colateral es que muchos sitios caen y muestran el error “Parse error: syntax error, unexpected ‘)’ en /home/user/public_html/site/wp-config.php en la línea 91”.

Cid ha dicho que la única versión segura de MailPoet es la recientemente lanzada versión 2.6.7, la cual debería ser instalada inmediatamente en todos los servidores vulnerables.

ArsTechnica – Dan Goodin.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s