Explotan vulnerabilidad en plugin de GDPR para WordPress que permite tomar control del sitio

Actualizado el 14/11.

Los ciberdelincuentes han estado explotando uno vulnerabilidad en el plugin para WordPress “WP GDPR Compliance”, el cual es utilizado por los propietarios de un sitio web para el complemento del RGPD. La vulnerabilidad comenzó como un día cero, pero desde hace aproximadamente seis días, se lanzó una actualización a la versión 1.4.3 que soluciona el problema.

Desde octubre de 2018, los delincuentes explotan esta falla que les permite instalar puertas traseras y tomar el control del sitio, publicó el portal ZDNet.

El plugin, que registra más de 100,000 instalaciones activas, lo que hace es adder una funcionalita para monitorear el cumplimiento de la norma por otros plugins que manjan datos de los usuarios y que son muy utilizados en sitios web realizados en WordPress; como son Contact Form 7 (usado para completar formularios), WooCommerce o la sección comentarios en WordPress, entre otros.

Según el medio, hace aproximadamente tres semanas, los atacantes descubrieron una vulnerabilidad en este complemento que comenzaron a explotar para acceder a sitios de WordPress e instalar scripts de puerta trasera.

En un primer momento, en el foro de soporte de WordPress, se inició un hilo de discusión alertando la existencia de un problema de seguridad donde los usuarios expresaron que un plugin desconocido (Autocode de 2MB) aparecía instalado y activado sin el consentimiento de los administradores del sitio, pero luego se descubrió que ese otro plugin aparentemente estaba instalado como payload de segunda instancia en algunos sitios que habían sido vulnerados. Y según las investigaciones realizadas por el equipo de seguridad de WordPress, el incidente se produjo Complemento Cumplimiento de WP GDPRel cual era el único complemento en común que tenía todos los sitios comprometidos.

Luego de haber sido eliminado Cumplimiento del RGPD de WP desde el repositorio de plugins de WordPress, ya está disponible de nuevo después de que su desarrollador publicara una actualización (1.4.3) que repara la falla.

Y si bien ya existe un parche disponible, aquellos sitios que sigan ejecutando la versión 1.4.2 expuestas. Según un reciente análisis realizado por expertos en seguridad de Defiant, empresa especializada en seguridad para WordPress y responsable del plugin de firewall para WordPress llamado Wordfence, Adaptándose a detectar ataques dirigidos a WP GDPR Compliance.

Según lo que detecteron los especialistas, son dos los errores tipográficos de ataque que procuran aprovecharse del error. El primero es un ataque que permite a los ciberdelincuentes crear una nueva cuenta de usuario (normalmente llamada “t2trollherten.”), asignar privilegios administrativos y luego modificar la configuración para volverla a la normalidad e instalar complementos maliciosos o “temas” para WordPress que contengan algún malware. .

El segundo ataque proporcionó al atacante una puerta trasera persistente que puede ser reemplazada si se descubre o elimina. Este ataque aprovecha el error de WP GDPR Compliance para agregar una nueva tarea maliciosa al WP-Cron schedule de un sitio. Esto lo que hace es explotar una tecnología que permite a un sitio web ejecutar tarases programados, como revisar actualizaciones o la publicación de un nuevo contenido. Los atacantes usaron WP-Cron para descargar e instalar el complemento Autocode de 2 MB, que luego se usaría para cargar otro script de puerta trasera en el sitio.

Aunque se supone que este segundo tipo de ataque implica una tarea más silenciosa, fue precisamente la aplicación de esta técnica la que llevó al descubrimiento de la vulnerabilidad en Cumplimiento del RGPD de WP. Este fue el caso porque la rutina no pudo eliminar el complemento Autocode de 2 MB y los usuarios vieron la aparición de un nuevo complemento en sus sitios.

Si bien en un primer momento los atacantes no están llevando a cabo ninguna acción maliciosa con los sitios vulnerados, recentente el site Securi dio conocer detalles que demsera lo contrario, ya que los atacantes están modificando la URL de varios de los sitios afectados. El viernes 9 se detectó que estaban modificando la URL de varios sitios por la dirección hxxp://realitatea[.]netomientras que ayer investigadores del mismo sitio publicaron que ahora están cambiando la URL de los sitios a la dirección hxxps://pastebin[.]com/raw/V8SVyu2P?.

Por lo tanto, se recomienda a todos los propietarios o administrativos de un sitio en WordPress que actualicen el complemento WP GDPR Compliance a la versión 1.4.3.