Actualizado el 14/11.

Cibercriminales han estado explotando una vulnerabilidad en el plugin para WordPress “WP GDPR Compliance", el cual es utilizado por los propietarios de un sitio web para el cumplimiento del GDPR. La vulnerabilidad comenzó siendo una zero-day, pero desde hace aproximadamente seis días se lanzó una actualización a la versión 1.4.3 que soluciona el fallo.

Desde octubre de 2018 que criminales han estado explotando este fallo que les permite instalar backdoors y tomar el control del sitio, publicó el portal ZDNet.

El plugin, que registra más de 100,000 instalaciones activas, lo que hace es añadir una funcionalidad para monitorear el cumplimiento de la normativa por otros plugins que manejan datos de los usuarios y que son muy utilizados en sitios web realizados en WordPress; como son Contact Form 7 (utilizado para completar formularios), WooCommerce o la sección comentarios en WordPress, entre otros.

Según el medio, hace aproximadamente tres semanas los atacantes descubrieron una vulnerabilidad en este plugin que comenzaron a explotar para acceder a sitios en WordPress e instalar scripts de backdoors.

En un primer momento, en el foro de soporte de WordPress un hilo de discusión comenzó a alertar la existencia de un problema de seguridad donde los usuarios manifestaban que un plugin (2MB Autocode) desconocido aparecía instalado y activado sin el consentimiento de los administradores del sitio, pero luego se descubrió que ese otro plugin aparentemente era  instalado como payload de segunda instancia en algunos sitios que habían sido vulnerados. Y según investigaciones llevadas adelante por el equipo de seguridad de WordPress, el incidente los llevaba hacia el plugin WP GDPR Compliance, el cual era el único plugin en común que tenían todos los sitios comprometidos.

Luego de haber sido removido WP GDPR Compliance del repositorio de plugins de WordPress, el mismo ya está disponible nuevamente luego de que su desarrollador publicara una actualización (1.4.3) que repara el fallo.

Y si bien ya existe un parche disponible, aquellos sitios que sigan corriendo la versión 1.4.2 continúan expuestos. Según un análisis reciente realizado por expertos de seguridad de Defiant, una compañía especializada en seguridad para WordPress y responsable del plugin de firewall para WordPress llamado Wordfence, continúan detectándose ataques dirigidos WP GDPR Compliance.

Según lo que detectaron los especialistas, son dos los tipos de ataque que procuran aprovecharse del bug. El primero es un ataque que permite a los cibercriminales crear una nueva cuenta de usuario (usualmente llamada "t2trollherten."), asignarle privilegios de administración y luego modificar la configuración para volverla a la normalidad e instalar plugins maliciosos o “temas” para WordPress que contengan algún malware.

El segundo ataque provee al atacante con un backdoor persistente que puede ser reemplazado si es descubierto o si es eliminado. Este ataque aprovecha el bug de WP GDPR Compliance para agregar una nueva tarea maliciosa al WP-Cron shedule de un sitio. Esto lo que hace es explotar una tecnología que permite a un sitio web ejecutar tareas programadas, como revisar actualizaciones o la publicación de un nuevo contenido. Los atacantes utilizaron el WP-Cron para descargar e instalar el 2MB Autocode plugin, el cual luego sería utilizado para subir al sitio el script de otro backdoor.

Si bien este segundo tipo de ataque se supone que involucra una tarea más silenciosa, fue precisamente la aplicación de esta técnica lo que derivó en el descubrimiento de la vulnerabilidad en WP GDPR Compliance. Esto fue así porque la rutina falló al no eliminar el 2MB Autocode plugin y los usuarios vieron en sus sitios la aparición de un nuevo plugin.

Si bien en un primer momento los atacantes parecían no estar llevando adelante ninguna acción maliciosa con los sitios vulnerados, recientemente el sitio Securi dio a conocer detalles que demuestran lo contrario, ya que que los atacantes están modificando la URL de varios de los sitios afectados. El viernes 9 se detectó que esataban modificando la URL de varios sitios por la dirección hxxp://erealitatea[.]net, mientras que ayer investigadores del mismo sitio publicaron que ahora están cambiando la URL de los sitios a la dirección hxxps://pastebin[.]com/raw/V8SVyu2P?.

Por lo tanto, se recomienda a todos los propietarios o administradores de un sitio en WordPress que actualicen el plugin WP GDPR Compliance a la versión 1.4.3.