Vulnerabilidad en el plugin de MailPoet compromete miles de blogs

El plugin de MailPoet, anteriormente conocido como Wysija Newsletter ha sido el causante de un ataque masivo de malware a sitios de WordPress. En una actualización del blog de Sucuri, sitio especializado en seguridad informática, informan que el plugin MailPoet es la puerta de entrada de miles de ataques.

Lo peor de todo es que una vez introducido el malware a traves de la vulnerabilidad de MailPoet no hace falta que tengas instalado el plugin, pues el atacante puede infectar cualquier web, WordPress o no, que comparta servidor con el sitio vulnerable.

Los ataques se inician con el hacker tratando de subir un tema personalizado para MailPoet malicioso al sitio vulnerable:

Selec All Code:
1
"194.79.195.139 - - [05/Jul/2014:01:41:30 -0700] "POST /wp-admin/admin-post.php?page=wysija_campaigns&action=themes HTTP/1.0" 302 - "http://site.com.com/wp-admin/admin.php?page=wysija_campaigns&id=1&action=editTemplate" "Mozilla/5.0""

Si consigue subir el tema infectado accede a su puerta trasera desde /wp-content/uploads/wysija/themes/mailp/:

Selec All Code:
1
2
"194.79.195.139 - - [05/Jul/2014:01:41:31 -0700] "GET /wp-content/uploads/wysija/themes/mailp/index.php HTTP/1.1" 200 12 "Mozilla/5.0"
194.79.195.139 - - [05/Jul/2014:04:08:16 -0700] "GET /wp-content/uploads/wysija/themes/mailp/index.php?cookie=1 HTTP/1.0" 200 12 "-" "Mozilla/5.0 (Windows)"

Y toma el control total del sitio.

El numero de sitios infectados los últimos días ha sido exponencial…

infecciones-mailpoet-wordpress

La puerta trasera inyectada crea un usuario con derechos de administración denominado 1001001 que, obviamente, habrá que borrar de la base de datos de WordPress, y también injerta el código de puerta trasera en todos los archivos del sistema y de los demás temas, complicando la limpieza del sitio atacado, que pasa la mayoría de las veces por una reinstalacion completa de todos los archivos para asegurarse.

Luego seria solo actualizar el plugin, para mantener cerradas la puerta trasera que permite la infección masiva, también borrar la carpeta del plugin y luego instalar la ultima versión, la única que no es vulnerable, actualmente la 2.6.9

Luego, por precaución, revisas todo los archivos de tu instalación, o recurres a una copia de seguridad limpia y reinstalas todo.

Una respuesta a “Vulnerabilidad en el plugin de MailPoet compromete miles de blogs”

Deja un comentario