WordPress Plugin GDPR | Vulnerable, permite tomar el control.

El plugin de WordPress GDPR el cual es utilizado para el cumplimineto del GDRP contiene una vulnerabilidad, la cual al ser explotada, le permitia al atacante, escalar privilegios y tomar el control del sitio. El plugin tiene la finalidad de monitorear el cumplimiento del GDRP en sitios donde utilizan otros plugins que manejan información de usuarios, como por el plugin WooComerce del cual recientemente se alerto de una vulnerabilidad.

Los atacantes descubrieron una vulnerabilidad en el plugin GDRP, con la cual podrían acceder a sitios e instalar scritps de BackDoors. Las BackDoorks fueron detectadas cuanto en el foto de soporte de WordPress varios usuarios, comenzaron a manifestar la existencia de un plugin posible mente malicioso.

En base a estos reportes el equipo de seguridad de WordPress realizo una investigacion la cual, los llevo al plugin plugin WP GDPR Compliance el cual era el unico plugin que tenian en comun los sitios comprometidos.

Un analisis realizado por Defiant (una compañia de seguridad para WordPress creadores del Firewall Wordfence) aun se siguen detectado ataques dirigidos al plugin GDRP.

Según lo que detectaron los especialistas, son dos los tipos de ataque que procuran aprovecharse del bug. El primero es un ataque que permite a los cibercriminales crear una nueva cuenta de usuario (usualmente llamada “t2trollherten.”), asignarle privilegios de administración y luego modificar la configuración para volverla a la normalidad e instalar plugins maliciosos o “temas” para WordPress que contengan algún malware.

El segundo ataque provee al atacante con un backdoor persistente que puede ser reemplazado si es descubierto o si es eliminado. Este ataque aprovecha el bug de WP GDPR Compliance para agregar una nueva tarea maliciosa al WP-Cron shedule de un sitio. Esto lo que hace es explotar una tecnología que permite a un sitio web ejecutar tareas programadas, como revisar actualizaciones o la publicación de un nuevo contenido. Los atacantes utilizaron el WP-Cron para descargar e instalar el 2MB Autocode plugin, el cual luego sería utilizado para subir al sitio el script de otro backdoor.

Solución | Actualización

Actualizar el plugin WP GDPR Compliance a su version -> 1.4.3

LINK: Plugin WP GDPR Compliance > 1.4.3

 

FUENTES:

https://www.welivesecurity.com/la-es/2018/11/13/vulnerabilidad-plugin-gdpr-wordpress/

https://wordpress.org/support/topic/plugin-installed-itself-and-activated-itself-on-my-site/

https://www.wordfence.com/blog/2018/11/trends-following-vulnerability-in-wp-gdpr-compliance-plugin/

https://wordpress.org/plugins/wp-gdpr-compliance/