Investigadores en seguridad de Sucuri han encontrado sitios WordPress legítimos que han sido alterados para hacerse con las cookies de los administradores y luego acceder como estos, utilizando para ello un dominio falso que presuntamente pertenece a la API de WordPress.
El atacante desvía las cookies robadas a code.wordpressapi.com, un dominio perteneciente a un servicio no existente de WordPress. Cesar Anjos, de Sucuri, encontró este malware escondido en la parte inferior de unos ficheros de JavaScript legítimos mientras respondía a un incidente.
El propósito del malware es robar cookies y enviarlas a un dominio falso cada vez que un usuario accedía a su sitio web legítimo, cuyo código JavaScript contiene escondido la parte maliciosa empleada por los hackers. Procediendo de esta manera, parece que el objetivo principal es hacerse con cuentas de administrador para luego acceder con elevados privilegios a sitios WordPress legítimos.
Las cookies generadas por los administradores de sitios WordPress contienen datos que pueden ser usados para mimetizar sus accesos sin necesidad de introducir las contraseñas. Este tipo de ataque, que se llama secuestro de sesión, permitiría a un atacante acceder al backend o back office del CMS, pudiendo hasta crear nuevas cuentas de administrador cuyos propietarios serían los atacantes.
Los expertos de Sucuri no han explicado cómo se ha podido cargar código malicioso en los ficheros JavaScript de sitios WordPress legítimos, pero la gran cantidad de instalaciones, temas y plugins obsoletos que están en funcionamiento muestran el ecosistema montado con este CMS como inseguro. Los temas y plugins obsoletos contienen vulnerabilidades que los hackers podrían aprovechar para controlar un sitio web o bien llevar a cabo ataques complejos.
WordPress lanza un programa de recompensas en HackerOne
Curiosamente, el equipo tras el CMS más utilizado de Internet decidió ayer poner en marcha un programa de recompensas por encontrar vulnerabilidades en la plataforma HackerOne.
El programa cubre proyectos oficiales como WordPress, BuddyPress, bbPress, GlotPress y WP-CLI, así como todos los sitios web oficiales: WordPress.org, bbPress.org, WordCamp.org, BuddyPress.org y GlotPress.org.
En un programa de recompensas anterior, que fue llevado a cabo de forma privada por el equipo de WordPress, se concedieron premios de 3.700 dólares para aquellos que consiguieran reportar una vulnerabilidad funcional.
WordPress 4.5.7 ya está disponible
El día de ayer también fue liberado la versión 4.5.7 del CMS y de la cual se puede destacar los siguientes fallos corregidos:
- Validación insuficiente en la redirección en la clase HTTP.
- Manejo inapropiado de los valores post de metadatos en la API XML-RPC.
- Falta de capacidades de comprobación para los metadatos de post en la API XML-RPC.
- Una vulnerabilidad de Falsificación de Petición de Coss Site (CRSF) descubierta en el diálogo de credenciales del sistema de ficheros.
- Una vulnerabilidad de cross-site scripting (XSS) descubierta cuando se intentaba subir ficheros pesados.
- Una vulnerabilidad de cross-site scripting (XSS) descubierta relacionada con Customizer.
Fuente: BleepingComputer
Visitas: 5