Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
17/12/2014
Llocs de WordPress són objecte d'atac a gran escala; 100 000 instal·lacions afectades
L’atac està dirigit a una vulnerabilitat crítica d’una extensió per a WordPress denominada Slider Revolution, o RevSlide.
Més de 100.000 llocs web han sigut intervinguts, i el nombre augmenta per cada hora que passa, informa el lloc web Sucuri, segons el qual es tracta d’una vulnerabilitat detectada fa uns quants mesos.
WordPress és una de les plataformes de publicació de continguts més utilitzada en el món, amb un nombre estimat de 70 milions d’instal·lacions.
RevSlide és un plugin premium, distribuït per mitjà d’una llicència comercial per CodeCanyon. Els autors han advertit contra la vulnerabilitat crítica i han demanat als usuaris actualitzar a una versió apedaçada. No obstant això, segons Sucuri, el procés en cap cas és fàcil.
Això és degut al fet que el plugin generalment és distribuït com a part d’un tema de WordPress, per la qual cosa molts propietaris de llocs web ni tan sols saben que RevSlide està instal·lada en la seua plataforma de continguts, i menys encara saben com s’actualitza, remarca l’empresa de seguretat informàtica Sucuri.
Els llocs són intervinguts per mitjà d’una injecció de codi Java Script o injectat directament en les pàgines del lloc. L’atac és descrit com a “sofisticat” per Sucuri, que ha publicat una ferramenta d’escaneig que permet detectar si el lloc és vulnerable a l’atac contra RevSlide.
“Hem rebut informes segons els quals només es recomana als afectats substituir els arxius swfobject.js i template-loader.php. Encara que este procediment elimina la infecció, no n’hi ha prou”, escriu el director tecnològic de l’empresa, Daniel Singer, en un comunicat publicat ahir.
Les instal·lacions de WordPress són manipulades en diversos nivells; les instal·lacions atacades inclouen arxius de scripts, imatges infectades i modificacions de la base de dades subjacent. Entre altres coses, la infecció instal·la diverses portes posteriors, que després poden ser explotades i aprofitades, entre altres coses, per a la creació de comptes d’administradors.
“El sistema queda ple de portes posteriors i infeccions. No n’hi ha prou amb netejar els arxius afectats, és necessari detindre tots els atacs malignes. El millor procediment és per mitjà d’un tallafocs”, recalca Daniel Singer. En este context, cal assenyalar que Sucuri mateix ven solucions de tallafocs, per la qual cosa la recomanació va en el seu propi interés.
Durant el cap de setmana, Google va col·locar en la llista negra 11.000 dominis operats amb WordPress, a fi de controlar l’atac, que ha sigut denominat “SoakSoak”, a causa del domini rus que és utilitzat per a perpetrar els atacs.