El ataque está dirigido hacia una vulnerabilidad crítica de una extensión para WordPress, denominada Slider Revolution, o RevSlide.
Diario TI 16/12/14 7:58:16
Más de 100.000 sitios webs han sido intervenidos, y el número aumenta por cada hora que pasa, informa el sitio web Securi, según el cual se trata de una vulnerabilidad detectada hace varios meses.
WordPress es una de las plataformas de publicación de contenidos más utilizada en el mundo, con un número estimado de 70 millones de instalaciones.
RevSlide es una plugin premium, distribuido mediante licencia comercial por CodeCanyon. Sus autores han advertido contra la vulnerabilidad crítica, pidiendo a sus usuarios actualizar a una versión parcheada. Sin embargo, según Securi, el proceso en ningún caso es expedito.
Esto se debe a que el plugin generalmente es distribuido como parte de un tema de WordPress, por lo que muchos propietarios de sitios web ni siquiera saben que RevSlide está instalada en su plataforma de contenidos, y menos aún saben cómo actualizarla, recalca la empresa de seguridad informática Securi.
Los sitios son intervenidos mediante una inyección de código Java Script o inyectado directamente en las páginas del sitio. El ataque es descrito como “sofisticado” por Securi, que ha publicado una herramienta de escaneo que permite detectar si el sitio es vulnerable ante el ataque contra RevSlide.
“Hemos recibido informes según los cuales sólo se recomienda a los afectados sustituir los archivos “swfobject.js” y “template-loader.php”. Aunque este procedimiento elimina la infección, no es suficiente”, escribe el director tecnológico de la empresa, Daniel Singer, en un comunicado publicado ayer.
Las instalaciones de WordPress son manipuladas en varios niveles; las instalaciones atacadas, incluyen archivos de scriptss, imágenes infectadas, y modificaciones a la base de datos subyacente. Entre otras cosas, la infección instala diversas puertas traseras, que posteriormente puedan ser explotadas y aprovechadas, entre otras cosas, para la creación de cuentas de administradores.
“El sistema queda lleno de puertas traseras e infecciones. No es suficiente limpiar los archivos afectados; es preciso detener todos los ataques malignos. El mejor procedimiento es mediante un cortafuegos”, recalca Daniel Singer. En este contexto, cabe señalar que la propia Securi vende soluciones de cortafuegos, por lo que la recomendación va en su propio interés.
Durante el fin de semana, Google colocó en lista negra 11.000 dominios operados con WordPress, con el fin de reducir el ataque, que ha sido denominado”SoakSoak” debido al dominio ruso que es utilizado para perpetrar los ataques.
http://diarioti.com/sitios-de-wordpress-son-objeto-de-ataque-a-gran-escala-100-000-instalaciones-afectadas/84826