Vulnerabilidad en WP Mobile Detector inserta PHP malicioso

0

Se cree que decenas de miles de sitios web WordPress, con el plugin WP Mobile Detector, presentan una vulnerabilidad que estaría poniendo a usuarios en peligro, dado que los hackers la han estado explotando durante un tiempo para insertar mensajes con pornografía.

Wordpress parchea WP Mobile Detector

El problema reside en algunas versiones del citado plugin, que intenta detectar si los visitantes están navegando nuestra web desde un dispositivo móvil, para así desplegar el tema “responsive” apropiado para estos.

Vulnerabilidad en WP Mobile Detector permite inyección de código PHP malicioso

Los investigadores de Sucuri dan todos los detalles en su blog, donde detallan esta vulnerabilidad de Día Cero en WP Mobile Detector, publicada el último día de Mayo, un par de días antes de que los desarrolladores fueran informados del problema.

Así, los atacantes han sido capaces de explotar la vulnerabilidad en el código de este plugin, que fallaba al intentar validar y depurar la entrada desde orígenes no confiables, permitiendo así inyección de código PHP malicioso en las webs vulnerables.

Lo que levantó sospechas fué la absoluta facilidad con la que los atacantes estaban aprovechando este agujero, normalmente lanzando una carga (payload) que les entregaba el acceso remoto a la máquina:

La vulnerabilidad es muy fácil de aprovechar, lo único que el atacante necesita es enviar una solicitud resize.php o timthumb.php, dentro del directorio del plugin, con la URL conteniendo la backdoor.

Los desarrolladores de WP Mobile Detector eliminaron el código vulnerable de su directorio de WordPress, mientras trabajaban en la solución. Pero eso no significa, claro está, que no se hayan comprometido miles de webs entretanto.

Antes de la retirada del mismo, se habían documentado más de 10000 instalaciones activas y, aunque el número se ha desplomado significativamente desde la primera noticia, es muy asumible que haya todavía bastantes webs en peligro.

Actualización para WP Mobile Detector

Hace escasos días se lanzó una nueva versión de WP Mobile Detector (3.6) que solucionaba el fallo. Actualmente ya está en la versión 3.7. Esto sirve de poco si los administradores no actualizan, así que os recomendamos hacerlo cuanto antes.

wp-mobile-detector

 

El problema descrito solamente afecta a las versiones auto-gestionadas de WordPress.org que estén ejecutando el plugin WP Mobile Detector. Además, el servidor requiere tener activa la opción allow_url_fopen para que pueda aprovecharse la vulnerabilidad.

También hay que aclarar que solo afecta a WP Mobile Detector y no a otros plugins con nombres similares en el repositorio.

Recomendaciones

Ya que quienes gestionan sitios web mediante WordPress.org son responsables de su nivel de seguridad, os recomendamos mantener los plugins y el core siempre actualizados, para sí reducir al máximo las oportunidades de intrusión.

Además, recordad que siempre hay que tener un buen firewall de servidor y un WAF ( firewall de aplicaciones web) y que no solo deben estar presentes, sino además correctamente configurados.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR