La Vulnerabilidad del Plugin File Manager Provoca una Guerra de Hackers

Categorias: Wordpress

La Vulnerabilidad del Plugin File Manager de WordPress, Provoca una Guerra de Hackers

La semana pasada nos encontramos con una vulnerabilidad muy grave en un plugin de WordPress llamado «File Manager». El problema es tan grande que incluso los hackers atacantes están competiendo entre ellos por aprovechar la vulnerabilidad antes que nadie.

WordPress y sus plugins provocan un gran número de problemas de seguridad en los sitios web y el último que nos encontramos fue la semana pasada con el plugin File Manager.

No se trata de que sea un sistema inseguro, pero lo plugins los crean desarrolladores externos y para añadir las funcionalidades extra que tanto nos gustan, tienen que añadir código extra en nuestro WordPress.

Cada vez que instalamos un nuevo plugin en nuestro WordPress, estamos añadiendo miles de líneas de código al sistema.

Además, WordPress es el CMS más usado en el mundo, así que es fácil pensar que un atacante intentará encontrar una vulnerabilidad en un plugin, que puede estar instalado en miles de sitios, en lugar de ir a por el código del propio WordPress.


Tenemos diferentes tipos de hosting, selecciona uno:


«Guerra» de Hackers por File Manager

Los problemas de seguridad pueden variar mucho y en algunos casos se tiene que dar diversas circunstancias para que un atacante puede aprovecharse, como estar registrado en el sitio y cosas así.

En el caso de File Manager, los chicos de Wordfence calificaron el problema de seguridad con una puntuación de 10 sobre 10.

Esta situación ha provocado una «guerra» o competición entre los hackers atacantes para aprovecharse de la vulnerabilidad del plugin.

La «guerra» consiste en encontrar la mayor cantidad de sitios afectados, acceder y bloquear al resto de hackers para que no puedan acceder y añadir su malware al sistema.

En cierto modo tiene sentido y por eso se están viendo distintos problemas y ataques, aunque todos ellos están originados por la vulnerabilidad del plugin File Manager.

Cuanto más éxito tiene el hacker en bloquear a sus rivales, más podrá extender su malware y más beneficios podrá obtener.

Para que te hagas una idea de las dimensiones de los ataques, se han detectado ataques contra File Manager, desde más de 370 mil direcciones IP distintas.

Multitud de Ataques: Más de 370.000 direcciones IP atacantes para aprovecharse de la vulnerabilidad de «File Manager»

Los Hackers más Activos

File Manger - Los Hackers más Activos

Hay varios atacantes que están teniendo más éxito que otros y el más popular, por así decirlo, es un atacante conocido como «bajatax», un hacker conocido en el «gremio» por especializarse en conseguir datos de acceso de sistemas PrestaShop.

Lo que hace este atacante es modificar el archivo connector.minimal.php , un archivo que se añade en el ataque original, para evitar la entrada de otros hackers al sistema.

Parece que ha tenido bastante éxito y está siendo el más activo hasta el momento y también parece que fue el primero en explotar la vulnerabilidad, al menos a una escala importante.

Lo que intenta hacer este hacker es conseguir las contraseñas de acceso de los usuarios del sitio, para luego venderlas o intentar acceder a otros servicios con los mismos datos de acceso (acuérdate que siempre decimos no usar la misma contraseña en distintos servicios, aquí tienes el motivo)

Todos los datos de acceso que consigue capturar, son enviados a una cuenta de Telegram: 1110165405.

Otro ataque muy activo está siendo feoidasf4e0_index.php, aunque en este caso el ataque se centra en añadir puertas traseras.

Añade más de un archivo con puertas traseras con nombres de archivos aleatorios, pero que terminan en _index.php.

La intención de este atacante es sacar provecho más adelante, incluso cuando se haya eliminado o actualizado el plugin File Manager, cuando haya pasado la alarma inicial.

Aunque parece que ya no está realizando un uso intensivo del ataque, si que se están localizando muchas puertas traseras, por lo que parece que tuvo mucho éxito al principio del ataque.

También bloquea con contraseña el archivo connector.minimal.php, para evitar que otros atacantes puedan acceder al mismo sitio y añadir su malware.

Además de estos dos ataques, existen muchos otros intentando aprovechar la vulnerabilidad de plugin File Manager, pero no están teniendo tanto éxito y por eso sus ataques no son tan populares.

Sin embargo, a medida que los usuarios dejen de usar el plugin o lo actualicen, habrán menos puertas a las que tocar y el numero de distintos ataques será mucho menor de lo que se ha visto hasta ahora.

En cualquier caso, este está siendo uno de los ataques más prolíferos detectados en la plataforma WordPress.

  • Más info aquí (Inglés)

Cosas a Tener en Cuenta

Si tenías instalado el plugin File Manager, deberías revisar tu WordPress, ya que es posible que haya sido atacado por algunos de los hackers que han intentado aprovechar la vulnerabilidad.

Esto no significa que si lo usas, tu sitio se haya infectado, si tienes instalado algún plugin de seguridad con Firewall o hayas actualizado el plugin cuando salió el parche, es posible que no hayan podido entrar en tu WordPress.

Pero como han existido muchos y distintos ataques, es difícil de saber, así que lo mejor es que revises tu sitio con, por ejemplo, con el antivirus que tienes en cPanel.

 

Hosting WordPress SSD

En Hostinet todos nuestros planes de hosting WordPress cuentan con un detector de malware que analiza todos los archivos en busca de cualquier problema.

Si se detecta algo, aislamos el archivo y te avisamos para que puedas tomar las medidas necesarias para resolver la situación lo antes posible.

No podemos detectar el fallo en la programación de un plugin, como en este caso, pero si te ves afectado y un atacante sube un archivo con malware, lo detectaremos y te avisaremos

  • Hosting especializado en WordPress con discos SSDWordPress 1desde4´38€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 2desde5´54€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 3desde8´34€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 1desde4´38€/mes
  • Hosting especializado en WordPress con discos SSDWordPress 2desde5´54€/mes
  • Hosting especializado en WordPress con discos SSDWordPress 3desde8´34€/mes
    • Almacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSD
    • El espacio en disco es la suma del espacio que ocupan los archivos que forman la web y el correo electrónico.
    • La transferencia de datos mensual es la cantidad total de información que se descargan los visitantes de nuestra web en cada acceso más nuestro uso a través de FTP y correo.
    • Ideado para sacar el máximo partido a tu WordPress
    • Aumenta la velocidad de tu web + Info
    • Tras evaluación de nuestro equipo de migraciones
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Elige la versión de PHP que necesites
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Migramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a Hostinet
    • Ideado para sacar el máximo partido a tu WordPress
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Hosting específicamente preparado para sacar el máximo rendimiento a tu Wordpress
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Cada dominio alojado muestra un contenido único y diferente del resto
    • Aparcando un dominio secundario en el alojamiento de nuestro dominio principal conseguimos que ambos dominios resuelvan indistintamente con la misma página que tenemos colgada.
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Tus buzones de correo y mails limpios de virus y con un potente filtro antispam
    • Centro de datos en Madrid (España)
    • Opción de contratación de IP dedicadaPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUI
    • Opción de contratación de certificados SSL. Se requiere Ip dedicada.Puedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUI
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • ¿Quieres realizar desarrollos con Python? En Hostinet innovamos dia a dia en tu beneficio y por ello te presentamos como última novedad en todos nuestros servidores Web la posibilidad de desplegar tus aplicaciones con Python directamente desde el cPanel de tu Hosting.
    • ¿Quieres desarrollar tus aplicaciones con Ruby? En Hostinet te presentamos como última novedad en todos nuestros servicios de Hosting Web la posibilidad de desplegar tus aplicaciones con Ruby on Rails directamente desde el panel de control cPanel.
    • El fichero .htaccess permite modificar diferentes variables en la configuración de nuestra cuenta de alojamiento en el servidor.
    • El módulo mod_rewrite permite crear direcciones URL alternativas a las dinámicas generadas por la programación de nuestros sitio web (blog, foro, portal…), de tal modo que sean más legibles y fáciles de recordar
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web. Soporte en español por personal de Hostinet.
    • Completa recopilación de tutoriales sobre Hosting, Dominios y Wordpress
    • 30 dias para probar tu servicio de Hosting y si no te convence el servicio... te devolvemos el dinero!!