Hackers están infectando sitios WordPress a través de un plugin inactivo

ActualidadvulnerabilidadWordPress

Si eres administrador de WordPress y utilizas un complemento llamado Rich Reviews, querrás desinstalarlo. El complemento ahora desaparecido tiene una vulnerabilidad importante que permite a “malvertisers” infectar sitios que ejecutan WordPress y redirigir a los visitantes a otras webs.

Rich Reviews es un complemento de WordPress que permite a los sitios administrar reseñas internamente en WordPress, y también muestra las reseñas de Google. La empresa de marketing Nuanced Media lo lanzó junto con el desarrollador de complementos Foxy Technology en enero de 2013.

Sin embargo, la luna de miel no duró mucho. Al actualizar una antigua publicación de blog a principios de este mes, Nuanced Media reafirmó que había descontinuado el complemento. Culpó a un cambio en las pautas de esquema de Google que impidió a los comerciantes mostrar calificaciones de estrellas de revisión en sus propias URL.

La última actualización de la empresa al repositorio de Rich Reviews en GitHub fue hace más de tres años. El complemento finalmente desapareció del sitio de WordPress en marzo de este año. Había acumulado 106.000 descargas en total.

El problema es, que al menos algunos de esas descargas (16.000 según algunas estimaciones) todavía lo están utilizando y sufren una vulnerabilidad importante. El error de seguridad permite a los atacantes inyectar código de publicidad maliciosa en las páginas de WordPress de las víctimas, llenándolas de anuncios emergentes o redirigiéndolas a otros sitios.

Wordfence, que vende un firewall de WordPress, reveló el error el martes.

Los atacantes se aprovechan de dos problemas en el plugin. El primero es la falta de controles de acceso para las solicitudes POST que modifican las opciones del complemento, lo que significa que los atacantes pueden realizar esas solicitudes sin autorización.

El segundo error es un problema de validación de entrada. Algunas de esas solicitudes de modificación pueden cambiar el texto que se muestra en el sitio, pero el complemento no valida el contenido de la solicitud.

Estos dos defectos combinados significan que los atacantes pueden inyectar código JavaScript directamente en la página del sitio web.

Los atacantes ya están explotando este error, según Wordfence. Se está utilizando como parte de una campaña de publicidad maliciosa de larga duración que la empresa ha informado anteriormente, en la que los atacantes redirigen a los visitantes a sitios farmacéuticos o atacan directamente a sus navegadores.

Algunos usuarios de WordPress confirmaron que ya están sufriendo ataques basados en esta vulnerabilidad.

El usuario de WordPress @the9mm advirtió, en un foro de soporte de WordPress,  que el complemento había permitido que el malware infectara tres de sus cuatro sitios, redirigiendo a los visitantes a sitios de malware y pornografía. Añadió:

Desactivar y eliminar el complemento solucionó el problema.

Nuanced Media respondió de inmediato en el mismo foro, explicando que estaba trabajando en una solución que estaría disponible en las próximas dos semanas:

Hemos estado trabajando en una reescritura general de este complemento durante un tiempo, pero aparentemente alguien por ahí quería que trabajáramos más rápido y decidieron explotar nuestro complemento para sacar algo de malware. Ahora lo haremos doblemente rápido y esperamos tener una nueva versión (mejor y segura) en las próximas dos semanas.

Sin embargo, esta respuesta no impresionó a Wordfence. La gente no puede actualizar el complemento a menos que Nuanced Media lo reintroduzca en el sitio de WordPress, dijo. También criticó la “vaga línea de tiempo” de Nuanced Media para una solución, por lo que decidió revelar el problema de inmediato para que los usuarios puedan deshacerse de él.

Una cosa está clara: Nuanced Media sabía que había un problema de seguridad en este plugin en marzo, ya que el motivo de la eliminación del plugin fue un problema de seguridad, aunque no está claro cuál era ese problema.

El CEO de Nuanced Media, Ryan Flannagan, nos dijo que fue WordPress el que eliminó el complemento en marzo, y agregó:

La eliminación de Rich Reviews del repositorio de plugins de WordPress también lo eliminó de nuestras prioridades.

Dijo que la empresa no apoyará Rich Reviews a largo plazo y concluyó:

Es angustioso saber que algo que creamos se está utilizando como un vector de ataque: perjudicando a las empresas, frustrando a los administradores de sitios web y beneficiando al peor tipo de spammers. Sin embargo, debido a la reciente actualización de Google Schema y el alcance del proyecto Nuanced Media no respaldará el desarrollo continuo de Rich Reviews.

La empresa está buscando desarrolladores que estén interesados ​​en hacerse cargo del desarrollo del complemento, agregó.

Esto plantea una pregunta interesante para la comunidad de WordPress. Si una empresa publica un complemento y miles de personas lo usan, ¿debería tener la obligación de corregir los errores de seguridad conocidos lo antes posible, incluso si se elimina el complemento?

Automattic, que hace WordPress, no respondió a nuestras preguntas. Sin embargo, Mikey Veenstra, el analista de amenazas de Wordfence que publicó el error, opina:

Afortunadamente, en la mayoría de los casos vemos desarrolladores receptivos que se toman en serio la seguridad y son rápidos resolviendo cualquier problema. Sin embargo, siempre hay excepciones como estas.

El objetivo principal de la comunidad es centrarse en educar a los desarrolladores sobre las mejores prácticas, concluyó.

 

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.