De nueva cuenta, el sistema de gestión de contenidos, WordPress, ha sido blanco de nuevos ataques que distribuyen puertas traseras y código malicioso, aprovechando las vulnerabilidades de sus plugins, una práctica de la cual ha resultado afectado en los últimos años.
Ahora se trata del plugin WP Mobile Detector, cuya tarea es detectar si el visitante usa un dispositivo móvil para cargar una plantilla del sitio web compatible. El script resize.php, que forma parte del plugin, contiene una vulnerabilidad que permitiría a los atacantes subir archivos a un servidor de forma remota, de acuerdo con información de PC World.
La vulnerabilidad en el plugin fue descubierta después que el equipo de seguridad de WordPress detectara solicitudes por el script resize.php, automatizadas por un sistema que buscaba el archivo aunque no se encontrara en el servidor web analizado.
Cuando los atacantes encontraban el script entre los archivos del plugin aprovechaban la vulnerabilidad para entablar conexiones mediante puertas traseras e inyectar código malicioso en páginas web. Investigadores de la firma de seguridad Sucuri descubrieron intentos de explotación desde el pasado 27 de mayo, aunque podría haberse explotado tiempo antes de lo descubierto.
La mayoría de los sitios web afectados fueron infectados con puertas de spam porno, reconocidas por la ubicación del directorio gopni3g con sus respectivos archivos en el sitio raíz.
El pasado jueves se publicó una actualización para el plugin WP Mobile Detector que pondría fin a la vulnerabilidad mencionada, así los administradores de más de 10 mil sitios web comprometidos tendrían oportunidad de verificar si fueron afectados. Cabe mencionar que después de este descubrimiento el plugin fue removido de WordPress.
Aún cuando la única manera de explotar la vulnerabilidad en el script resize.php del plugin WP Mobile Detector era que la característica allow_url_fopen estuviera habilitada, WordPress debe ser responsable de verificar los archivos que se distribuyen en el repositorio de plugins. No sería la primera vez que es vulnerado y no parece tener intenciones de prevenirlo.
Opinar es gratis, como siempre. No olviden seguirnos y comentar en Facebook.