Una vulnerabilidad de WordPress ataca a más de 1.5 millones de páginas web
Los atacantes están aprovechando el fallo recientemente restablecido de la API REST que permite que el código se inyecte en los sitios web de WordPress.
Una vulnerabilidad, ubicada en la API REST de la plataforma de WordPress, permite a los atacantes no autenticados modificar el contenido de cualquier publicación o página de este sitio. El fallo fue corregido en WordPress 4.7.2, lanzado el 26 de enero, pero el equipo de WordPress no reveló públicamente la existencia de la vulnerabilidad hasta una semana después para dar tiempo suficiente a un gran número de usuarios para implementar la actualización.
Sin embargo, incluso después de que el defecto se hiciera público, muchos administradores de páginas web no aplicaron el parche y una ola de ataques surgieron enseguida. El lunes pasado, la empresa de seguridad web Sucuri informó que unas 67.000 páginas habían sido destruidas en cuatro campañas de ataque distintas.
Desde entonces, el número de páginas defectuosas ha crecido a más de 1.5 millones y hay 20 firmas de ataques diferentes, según las estadísticas de Feedjit, la compañía de seguridad Wordfence para WordPress. También ha dicho que el número de sitios web únicos afectados se estima en alrededor de 40.000, ya que un sitio puede tener múltiples páginas defaced.
"Esta vulnerabilidad ha resultado en una especie de frenesí de alimentación donde los atacantes están compitiendo entre sí para deshacerse de los sitios Web vulnerables de WordPress", dijo Mark Maunder, director general de Feedjit en un blog publicado el jueves. "Durante las últimas 48 horas hemos visto más de 800.000 ataques explotando esta vulnerabilidad específica en los sitios de WordPress que monitorizamos".
Un aspecto interesante es que los atacantes han logrado encontrar una forma de derrotar los controles establecidos por los proveedores de firewall de aplicaciones web y de las empresas de alojamiento web. Estas empresas no pueden obligar a los webmasters a actualizar sus sistemas de WordPress pero pueden poner filtros para bloquear tales ataques y evitar que lleguen a sus clientes. De hecho, antes de lanzar el parche oficial, el equipo de seguridad de WordPress se acercó a seleccionar empresas de seguridad y alojamiento web para ayudarles a implementar reglas de protección para este defecto.
La mala noticia es que es probable que sea solo cuestión de tiempo que los atacantes dejen de desfigurar las páginas y comiencen a inyectar código malicioso en ellos, afectando así a sus visitantes.
