Los atacantes están explotando activamente una vulnerabilidad crítica en BackupBuddy, un complemento de WordPress que se estima que utilizan 140,000 sitios web para realizar copias de seguridad de sus instalaciones.
La vulnerabilidad permite a los atacantes leer y descargar archivos arbitrarios de los sitios web afectados, incluidos aquellos que contienen información de configuración y datos confidenciales, como contraseñas, que pueden usarse para un mayor compromiso.
El proveedor de seguridad de WordPress, Wordfence, informó haber observado ataques dirigidos a la falla a partir del 26 de agosto y dijo que ha bloqueó cerca de 5 millones de ataques Desde entonces. El desarrollador del complemento, iThemes, publicó un parche para la falla el 2 de septiembre, más de una semana después de que comenzaran los ataques. Eso plantea la posibilidad de que al menos algunos sitios de WordPress que utilizan el software se hayan visto comprometidos antes de que estuviera disponible una solución para la vulnerabilidad.
Un error de recorrido de directorio
En una declaración en su sitio web, iThemes describió la vulnerabilidad de cruce de directorio como un impacto en los sitios web que ejecutan Versiones de BackupBuddy 8.5.8.0 a 8.7.4.1. Instó a los usuarios del complemento a actualizar inmediatamente a la versión 8.75 de BackupBuddy, incluso si actualmente no están utilizando una versión vulnerable del complemento.
"Esta vulnerabilidad podría permitir a un atacante ver el contenido de cualquier archivo en su servidor que pueda ser leído por su instalación de WordPress", advirtió el fabricante del complemento.
Las alertas de iThemes brindaron orientación sobre cómo los operadores de sitios pueden determinar si su sitio web se ha visto comprometido y los pasos que pueden tomar para restaurar la seguridad. Estas medidas incluyeron restablecer la contraseña de la base de datos, cambiar su Sales de WordPressy rotar claves API y otros secretos en su archivo de configuración del sitio.
Wordfence dijo que había visto a atacantes usar la falla para intentar recuperar "archivos confidenciales como los archivos /wp-config.php y /etc/passwd que pueden usarse para comprometer aún más a una víctima".
Seguridad del complemento de WordPress: un problema endémico
La falla de BackupBuddy es solo una de las miles de fallas que se han revelado en los entornos de WordPress (casi todas involucran complementos) en los últimos años.
En un informe a principios de este año, iThemes dijo que identificó un total de 1,628 vulnerabilidades de WordPress reveladas en 2021, y más del 97% de ellos afectaron a los complementos. Casi la mitad (47.1%) fueron calificados como de gravedad alta a crítica. Y preocupantemente, El 23.2% de los complementos vulnerables no tenían solución conocida.
Un escaneo rápido de la Base de datos nacional de vulnerabilidades (NVD) realizado por Dark Reading mostró que hasta ahora se han revelado varias docenas de vulnerabilidades que afectan a los sitios de WordPress solo en la primera semana de septiembre.
Los complementos vulnerables no son la única preocupación para los sitios de WordPress; Los complementos maliciosos son otro problema. Un estudio a gran escala de más de 400,000 sitios web realizado por investigadores del Instituto de Tecnología de Georgia descubrió una la asombrosa cantidad de 47,337 complementos maliciosos instalado en 24,931 sitios web, la mayoría de ellos todavía activos.
Sounil Yu, CISO de JupiterOne, dice que los riesgos inherentes a los entornos de WordPress son similares a los presentes en cualquier entorno que aproveche complementos, integraciones y aplicaciones de terceros para ampliar la funcionalidad.
"Al igual que con los teléfonos inteligentes, estos componentes de terceros amplían las capacidades del producto principal, pero también son problemáticos para los equipos de seguridad porque aumentan significativamente la superficie de ataque del producto principal", explica, y agrega que examinar estos productos también es un desafío. debido a su gran número y falta de procedencia clara.
“Los equipos de seguridad tienen enfoques rudimentarios y, en la mayoría de los casos, dan un vistazo superficial a lo que yo llamo las tres P: popularidad, propósito y permisos”, señala Yu. “Al igual que las tiendas de aplicaciones administradas por Apple y Google, los mercados deben realizar más investigaciones para garantizar que [los complementos, integraciones y aplicaciones de terceros] maliciosos no creen problemas a sus clientes”, señala.
Otro problema es que mientras WordPress es ampliamente utilizado, a menudo lo administran profesionales de marketing o diseño web y no profesionales de TI o seguridad, dice Bud Broomhead, director ejecutivo de Viakoo.
"La instalación es fácil y la eliminación es una ocurrencia tardía o nunca se hace", le dice Broomhead a Dark Reading. "Al igual que la superficie de ataque se ha desplazado a IoT/OT/ICS, los actores de amenazas apuntan a sistemas no administrados por TI, especialmente aquellos que se usan ampliamente como WordPress".
Broomhead agrega: "Incluso cuando WordPress emite alertas acerca de que los complementos son vulnerabilidades, otras prioridades además de la seguridad pueden retrasar la eliminación de complementos maliciosos".
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
