50.000 sites de WordPress comprometidos por una vulnerabilidad de MailPoet
Una vulnerabilidad crítica que se acaba de detectar en un popular plug-in de WordPress ha comprometido a 50.000 sites hasta el momento. El error se encuentra en un complemento de newsletter llamado MailPoet y fue reparado en la versión 2.6.7 lanzada el 1 de julio pasado.
Si no se utiliza este parche, cualquier atacante puede subir arbitrariamente archivos PHP al servidor web y tomar el control del sitio web. MailPoet ha sido descargado, hasta la fecha, casi dos millones de veces del repositorio oficial de WordPress. Un análisismás profundo reveló que la amenaza explota la vulnerabilidad de carga de archivos MailPoet mencionada.
"La puerta trasera es muy desagradable y crea un administrador de usuario llamado 1001001", aseguran los investigadores de seguridad de Sucuri en su blog. "Además, inyecta un código de puerta trasera a todos los archivos centrales. El gran problema es que a menudo sobrescribe sobre archivos buenos, lo que hace muy difícil recuperarse, sin utilizar una buena copia de seguridad", insisten.
El sitio web de Sucuri ofrece un escáner gratuito que permite detectar miles de sitios comprometidos por este ataque, como explica Daniel Cid, director de tecnología de Sucuri. Sin embargo, la compañía estima que ya puede haber infectados hasta 50.000 sites.
Incluso, hay sitios web infectados que no tienen instalado o no han utilizado nunca WordPress, debido a la denomina contaminación cruzada. Si una cuenta de alojamiento web tiene un sitio WordPress vulnerable a este ataque, la puerta trasera PHP puede abrir la infección a otros sitios alojados en esa misma cuenta.
"En la mayoría de las empresas de alojamiento compartido –como GoDaddy, Bluehost, etc- una cuenta no puede acceder a los archivos desde otra, por lo que la contaminación cruzada solo alcanzaría a los sitios de una misma cuenta", explica Cid. Sin embargo, en otros casos, "si el servidor no está configurado correctamente, lo que no es raro, entonces [la infección] se extenderá a todos los sitios y cuentas del mismo servidor."
Para protegerse, los administradores deben actualizar el plug-in MailPoet a la versión más reciente, que en este momento es la 2.6.9.