WordPress vector de propagación de Flashback

Es conocida ya la repercusión y el impacto que tuvo Flashback en las últimas semanas. La afamada botnet ya tiene un gran número de sistemas Mac infectados a lo largo del mundo. Sin embargo, el tema que llama la atención estos días, es como se propagó. Unos de los vectores principales fue la plataforma de blogging WordPress.

No es casualidad que WordPress haya sido seleccionado como un medio para propagar este malware. Esta plataforma de blogging es ampliamente utilizada en la red y además de su facilidad de uso, cuenta con módulos disponibles para todo tipo de funcionalidades. Sin embargo, la desventaja de este sistema es que muchas veces, estos módulos son desarrollados por terceros y suelen contener bugs o vulnerabilidades que, en caso de que se exploten, pueden llegar a comprometer el sitio web.

Existen casos de plugins que permiten la inyección de código, los cuales pueden ser aprovechados por los ciberdelincuentes para incorporar código al sitio original de manera que cuando el usuario visite el sitio, ejecute el código inyectado. Se ha observado que el código inyectado, por lo general, es un script que se conecta a un sitio remoto y descarga el archivo .jar (Java) que contiene el código malicioso. A continuación se intenta ejecutar este archivo en el contexto de un applet para así lograr la infección del sistema.

Script de infección

Como puede observarse en la imagen anterior, el código intenta ejecutar dos archivos de extensión .jar cargándolos en un applet de dimensiones de apenas un píxel, posiblemente con la intención de no generar sospechas en el usuario que se encuentra navegando en el sitio web. Cabe destacar que la infección solo se producirá en caso de que se cuente con una versión de Java vulnerable.

¿Que debe hacer un administrador de un sitio web que utiliza WordPress?

Es importante tomar algunos recaudos. Como método de prevención no se deben instalar plugins que no sean de confianza y es de gran importancia actualizar tanto el software de WordPress como el conjunto de plugins instalados regularmente. Si se tienen dudas sobre si el sitio está infectado con este tipo de código, se puede realizar un análisis del sitio para verificar que se encuentre limpio. En caso de que se detecte que el sitio se encuentra infectado, se debe eliminar el código inyectado.

¿Qué debe hacer el usuario para navegar por la red y no infectarse?

Es importante que el usuario se encuentre protegido a la hora de navegar por la red, para evitar infectarse por el simple hecho de ingresar a un blog. Es por esto, que se le recomienda contar con un software antivirus que cuente con capacidad de detección proactiva, tal como es ESET NOD32 Antivirus, el cual bloquea el sitio remoto impidiendo la ejecución del código. Además se debe actualizar la versión  de Java a la última disponible en la cual ya se encuentra reparada la grave vulnerabilidad.

Fernando Catoira
Analista de Seguridad

Autor , ESET

  • Nos hemos visto afectados por este tipo de infecciones debido a plugins muy conocidos, que permite la subida de archivos shell al servidor

    • Fernando Catoira

      Buenos días estimado DoctorPC.
      Es muy común ver este tipo de infecciones a través de plugins. Debido a esto, es recomendable no descargar plugins que no sean de confianza y mantener actualizados los mismos para contar con los últimos parches de seguridad.

      Fernando.

  • Pingback: Brute Force a Wordpress con WpScan()

Síguenos