El plugin de WordPress GDPR el cual es utilizado para el cumplimineto del GDRP contiene una vulnerabilidad, la cual al ser explotada, le permitia al atacante, escalar privilegios y tomar el control del sitio. El plugin tiene la finalidad de monitorear el cumplimiento del GDRP en sitios donde utilizan otros plugins que manejan información de usuarios, como por el plugin WooComerce del cual recientemente se alerto de una vulnerabilidad.
Los atacantes descubrieron una vulnerabilidad en el plugin GDRP, con la cual podrían acceder a sitios e instalar scritps de BackDoors. Las BackDoorks fueron detectadas cuanto en el foto de soporte de WordPress varios usuarios, comenzaron a manifestar la existencia de un plugin posible mente malicioso.
En base a estos reportes el equipo de seguridad de WordPress realizo una investigacion la cual, los llevo al plugin plugin WP GDPR Compliance el cual era el unico plugin que tenian en comun los sitios comprometidos.
Un analisis realizado por Defiant (una compañia de seguridad para WordPress creadores del Firewall Wordfence) aun se siguen detectado ataques dirigidos al plugin GDRP.
Según lo que detectaron los especialistas, son dos los tipos de ataque
que procuran aprovecharse del bug. El primero es un ataque que permite a
los cibercriminales crear una nueva cuenta de usuario (usualmente
llamada “t2trollherten.”), asignarle privilegios de administración y
luego modificar la configuración para volverla a la normalidad e
instalar plugins maliciosos o “temas” para WordPress que contengan algún
malware.
El segundo ataque provee al atacante con un backdoor persistente que
puede ser reemplazado si es descubierto o si es eliminado. Este ataque
aprovecha el bug de WP GDPR Compliance para agregar una nueva tarea
maliciosa al WP-Cron shedule
de un sitio. Esto lo que hace es explotar una tecnología que permite a
un sitio web ejecutar tareas programadas, como revisar actualizaciones o
la publicación de un nuevo contenido. Los atacantes utilizaron el
WP-Cron para descargar e instalar el 2MB Autocode plugin, el cual luego
sería utilizado para subir al sitio el script de otro backdoor.
Solución | Actualización
Actualizar el plugin WP GDPR Compliance a su version -> 1.4.3
FUENTES:
0 Comentarios