{"id":35503,"date":"2020-09-11T14:43:23","date_gmt":"2020-09-11T12:43:23","guid":{"rendered":"https:\/\/www.hostinet.com\/formacion\/?p=35503"},"modified":"2020-09-14T16:31:23","modified_gmt":"2020-09-14T14:31:23","slug":"la-vulnerabilidad-del-plugin-file-manager-de-wordpress-provoca-una-guerra-de-hackers","status":"publish","type":"post","link":"https:\/\/www.hostinet.com\/formacion\/wordpress\/la-vulnerabilidad-del-plugin-file-manager-de-wordpress-provoca-una-guerra-de-hackers\/","title":{"rendered":"La Vulnerabilidad del Plugin File Manager Provoca una Guerra de Hackers"},"content":{"rendered":"
<\/div>

\"La<\/a><\/h4>\n

La semana pasada nos encontramos con una vulnerabilidad muy grave en un plugin de WordPress llamado \u00abFile Manager\u00bb. El problema es tan grande que incluso los hackers atacantes est\u00e1n competiendo entre ellos por aprovechar la vulnerabilidad antes que nadie.<\/h4>\n

WordPress y sus plugins<\/strong> provocan un gran n\u00famero de problemas de seguridad en los sitios web y el \u00faltimo que nos encontramos fue la semana pasada con el plugin File Manager<\/a><\/strong>.<\/p>\n

No se trata de que sea un sistema inseguro, pero lo plugins los crean desarrolladores externos y para a\u00f1adir las funcionalidades extra que tanto nos gustan, tienen que a\u00f1adir c\u00f3digo extra en nuestro WordPress<\/strong>.<\/p>\n

Cada vez que instalamos un nuevo plugin en nuestro WordPress, estamos a\u00f1adiendo miles de l\u00edneas de c\u00f3digo al sistema<\/strong>.<\/p>\n

Adem\u00e1s, WordPress es el CMS m\u00e1s usado en el mundo, as\u00ed que es f\u00e1cil pensar que un atacante intentar\u00e1 encontrar una vulnerabilidad en un plugin<\/strong>, que puede estar instalado en miles de sitios, en lugar de ir a por el c\u00f3digo del propio WordPress<\/strong>.<\/p>\n

\n

\"Hosting<\/a><\/p>\n

\n

\u00abGuerra\u00bb de Hackers por File Manager<\/h2>\n

Los problemas de seguridad pueden variar mucho<\/strong> y en algunos casos se tiene que dar diversas circunstancias para que un atacante puede aprovecharse, como estar registrado en el sitio y cosas as\u00ed.<\/p>\n

En el caso de File Manager<\/strong>, los chicos de Wordfence<\/strong><\/a> calificaron el problema de seguridad con una puntuaci\u00f3n de 10 sobre 10<\/strong>.<\/p>\n

Esta situaci\u00f3n ha provocado una \u00abguerra\u00bb<\/em> o competici\u00f3n entre los hackers atacantes<\/strong> para aprovecharse de la vulnerabilidad del plugin.<\/p>\n

La \u00abguerra\u00bb<\/em> consiste en encontrar la mayor cantidad de sitios afectados, acceder y bloquear al resto de hackers<\/strong> para que no puedan acceder y a\u00f1adir su malware al sistema.<\/p>\n

En cierto modo tiene sentido y por eso se est\u00e1n viendo distintos problemas y ataques<\/strong>, aunque todos ellos est\u00e1n originados<\/strong> por la vulnerabilidad del plugin File Manager<\/strong>.<\/p>\n

Cuanto m\u00e1s \u00e9xito tiene el hacker en bloquear a sus rivales<\/strong>, m\u00e1s podr\u00e1 extender su malware y m\u00e1s beneficios podr\u00e1 obtener.<\/p>\n

Para que te hagas una idea de las dimensiones de los ataques, se han detectado ataques contra File Manager, desde m\u00e1s de 370 mil direcciones IP distintas<\/strong>.<\/p>\n

Multitud de Ataques<\/strong>: M\u00e1s de 370.000 direcciones IP<\/strong> atacantes para aprovecharse de la vulnerabilidad de \u00abFile Manager\u00bb<\/p><\/blockquote>\n

Los Hackers m\u00e1s Activos<\/h2>\n

\"File<\/a><\/p>\n

Hay varios atacantes que est\u00e1n teniendo m\u00e1s \u00e9xito que otros y el m\u00e1s popular, por as\u00ed decirlo, es un atacante conocido como \u00abbajatax\u00bb<\/strong>, un hacker conocido en el \u00abgremio\u00bb<\/em> por especializarse en conseguir datos de acceso de sistemas PrestaShop.<\/p>\n

Lo que hace este atacante es modificar el archivo connector.minimal.php<\/strong> , un archivo que se a\u00f1ade en el ataque original, para evitar la entrada de otros hackers al sistema<\/strong>.<\/p>\n

Parece que ha tenido bastante \u00e9xito<\/strong> y est\u00e1 siendo el m\u00e1s activo hasta el momento y tambi\u00e9n parece que fue el primero en explotar la vulnerabilidad<\/strong>, al menos a una escala importante.<\/p>\n

Lo que intenta hacer este hacker es conseguir las contrase\u00f1as de acceso de los usuarios del sitio<\/strong>, para luego venderlas o intentar acceder a otros servicios con los mismos datos de acceso (acu\u00e9rdate que siempre decimos no usar la misma contrase\u00f1a en distintos servicios, aqu\u00ed tienes el motivo)<\/p>\n

Todos los datos de acceso que consigue capturar, son enviados a una cuenta de Telegram: 1110165405<\/strong>.<\/p>\n

Otro ataque muy activo est\u00e1 siendo feoidasf4e0_index.php<\/strong>, aunque en este caso el ataque se centra en a\u00f1adir puertas traseras<\/strong>.<\/p>\n

A\u00f1ade m\u00e1s de un archivo con puertas traseras con nombres de archivos aleatorios, pero que terminan en _index.php<\/strong>.<\/p>\n

La intenci\u00f3n de este atacante es sacar provecho m\u00e1s adelante, incluso cuando se haya eliminado o actualizado el plugin File Manager<\/strong>, cuando haya pasado la alarma inicial.<\/p>\n

Aunque parece que ya no est\u00e1 realizando un uso intensivo del ataque, si que se est\u00e1n localizando muchas puertas traseras, por lo que parece que tuvo mucho \u00e9xito al principio del ataque.<\/p>\n

Tambi\u00e9n bloquea con contrase\u00f1a el archivo connector.minimal.php<\/strong>, para evitar que otros atacantes puedan acceder al mismo sitio y a\u00f1adir su malware.<\/p>\n

Adem\u00e1s de estos dos ataques, existen muchos otros intentando aprovechar la vulnerabilidad de plugin File Manager<\/strong>, pero no est\u00e1n teniendo tanto \u00e9xito y por eso sus ataques no son tan populares.<\/p>\n

Sin embargo, a medida que los usuarios dejen de usar el plugin o lo actualicen, habr\u00e1n menos puertas a las que tocar y el numero de distintos ataques ser\u00e1 mucho menor<\/strong> de lo que se ha visto hasta ahora.<\/p>\n

En cualquier caso, este est\u00e1 siendo uno de los ataques m\u00e1s prol\u00edferos<\/strong> detectados en la plataforma WordPress.<\/p>\n