HPE entre los lÃderes de almacenamiento de Gartner
El exploit detectado recientemente en WordPress pone en peligro a miles de sitios web en todo el mundo que utilizan el plug-in que permite la falla.
CIO AMÉRICA LATINA | Por Elibeth Eduardo | @ely_e
La vulnerabilidad no parcheada se encuentra en el WP Mobile Detector, un plug-in de la versión 3.6 instalado en más de 10.000 sitios web.
En respuesta a esta situación, la empresa género una actualización que corrige el exploit y que comienza a ser visible como aviso en los Escritorios de los usuarios.
WordPress recomienda la instalación inmediata de actualización, asà como la verificación de que los sitios del usuarios no se han caÃdo.
La falla fue descubierta el 27 de mayo por el equipo de seguridad de WordPress PluginVulnerabilities.com después de que se observaron solicitudes para el wp-content / plugins / wp-mobile-detector / resize.php a pesar de que no existÃa en su servidor. Esto indicaba que alguien estaba ejecutando un escaneo automatizado para ese archivo especÃfico, probablemente porque tenÃa un defecto.
El exploit, sin embargo, pudo comenzar a ser explotado mucho antes de su momento de detección. Desde que se detectó la incursión el plug-in WP Mobile Detector se retiró brevemente del directorio de plug-ins de WordPress.org.
Resize.php
La vulnerabilidad se encuentra en un script llamado guión resize.php y permite a los atacantes remotos subir archivos arbitrarios en el servidor web. Estos archivos pueden ser secuencias de comandos de puerta trasera conocidos como Web shells que proporcionan a los atacantes acceso al servidor de puerta trasera y la capacidad de inyectar código malicioso en páginas legÃtimas.
De acuerdo con PluginVulnerabilities.com no es un factor limitante: para que este defecto sea explotable, la caracterÃstica allow_url_fopen debe estar habilitado en el servidor. Dado que no está claro cómo muchos sitios web han sido hackeados, es una buena idea que los sitios web propietarios de WordPress que utilizan este plug-in comprueben sus servidores y verifiquen si hay algún signo de que se encuentran comprometidos.
“En este momento la mayorÃa de los sitios vulnerables están infectadas con puertas de spam porno. Generalmente, usted puede encontrar el directorio gopni3g en la raÃz del sitio, que contiene story.php (generador de umbral de escritura), .htaccess y subdirectorios con archivos y plantillas de spam”, dijo investigar de lla empresa Sucuri, Douglas Santos en una entrada en el blog de esa empresa.
