Nuevo malware de Linux infecta sitios web basados en WordPress y explota más de dos docenas de fallas de CMS.

TEAM CSIRT

Se ha descubierto un malware de Linux que piratea sitios web basados en un CMS (Content Management System) de WordPress; mismo que explota 30 vulnerabilidades en varios plugins y temas para esta plataforma. Al utilizar versiones desactualizadas de estos complementos las páginas web objetivo se inyectan con JavaScripts maliciosos, dando como resultado que los usuarios al hacer click en cualquier área de una página infectada, sean redirigidos a otros sitios.

Este malware llamado Linux.BackDoor.WordPressExploit.1 tiene como objetivo las versiones de Linux de 32 bits, pero puede ejecutarse en versiones de 64 bits. Es una puerta trasera controlada de forma remota por actores maliciosos, les permite realizar las siguientes acciones:

  • Atacar una página web específica.
  • Cambiar al modo de espera.
  • Cerrarse a sí mismo.
  • Pausa el registro de sus acciones.

Antes de realizar el ataque, el troyano contacta a su servidor C&C (Comando y Control) y recibe la dirección del sitio a infectar. Al explotar una o más vulnerabilidades la página de destino se inyecta con un JavaScript malicioso que se descarga desde un servidor remoto. Con esto, al cargar la página infectado se iniciará primero el JavaScript y siempre que los usuarios hagan clic en cualquier parte de la página comprometida, estos serán redirigidos al sitio web al que los atacantes necesitan que vayan los usuarios.

Junto con la modificación actual de esta aplicación troyana, los especialistas han descubierto su versión actualizada Linux.BackDoor.WordPressExploit.2; sus diferencias con el original son la dirección del servidor C&C, la dirección del dominio desde donde se descarga el JavaScript malicioso y una lista adicional de vulnerabilidades.

A continuación, se muestra la lista de los plugins y temas que el troyano intenta infectar:

  • WP Live Chat Support Plugin
  • WordPress – Yuzo Related Posts
  • Yellow Pencil Visual Theme Customizer Plugin
  • Easysmtp
  • WP GDPR Compliance Plugin
  • Newspaper Theme on WordPress Access Control (vulnerability CVE-2016-10972);
  • Thim Core
  • Google Code Inserter
  • Total Donations Plugin
  • Post Custom Templates Lite
  • WP Quick Booking Manager
  • Faceboor Live Chat by Zotabox
  • Blog Designer WordPress Plugin
  • WordPress Ultimate FAQ (vulnerabilities CVE-2019-17232 and CVE-2019-17233);
  • WP-Matomo Integration (WP-Piwik)
  • WordPress ND Shortcodes For Visual Composer
  • WP Live Chat
  • Coming Soon Page and Maintenance Mode
  • Hybrid
  • Brizy WordPress Plugin
  • FV Flowplayer Video Player
  • WooCommerce
  • WordPress Coming Soon Page
  • WordPress theme OneTone
  • Simple Fields WordPress Plugin
  • WordPress Delucks SEO plugin
  • Poll, Survey, Form & Quiz Maker by OpinionStage
  • Social Metrics Tracker
  • WPeMatico RSS Feed Fetcher
  • Rich Reviews plugin

También se descubrió que ambas variantes del troyano contienen una funcionalidad no implementada para piratear las cuentas de administrados de sitios web objetivo, mediante un ataque de fuerza bruta, utilizando la aplicación de nombres de usuarios y contraseñas conocidos, haciendo uso de vocabularios especiales. La compañía declaró que “si dicha opción se implementa en las versiones más nuevas de la puerta trasera, los ciberdelincuentes incluso podrán atacar con éxito algunos de esos sitios web que usan versiones actuales de complementos con vulnerabilidades parcheadas”.

Recomendaciones:

Se recomienda que los propietarios de sitios web basados en WordPress mantengan actualizados todos los plugins de la plataforma, incluyendo los plugins y temas de terceros; adicionalmente recomienda utilizar contraseñas fuertes y únicas en sus cuentas.

Referencias: