Cómo analizar los ataques masivos a los plugins de WordPress
Las vulnerabilidades y los patrones de ataques que ha sufrido en los últimos años son analizados por un equipo de expertos de Akamai.
Desde hace unos años la seguridad de los plugins de WordPress ha sido un tema de interés debido a la abundancia de vulnerabilidades de seguridad que se han encontrado y publicado. Sólo en 2013 se han publicado al menos 64 vulnerabilidades diferentes, un gran número bajo cualquier estándar, según datos ofrecidos por Akamai.
Akamai Technologies ha utilizado su plataforma Cloud Security Intelligence para analizar los patrones de estos. Se trata de una plataforma de datos distribuidos a escala masiva, que almacena miles de millones de eventos de seguridad de miles de aplicaciones web en todo el planeta, lo que ha obtener una perspectiva de las tendencias de los ataques que ocurren en Internet.
Analizando los ataques dirigidos contra los plugins de WordPress en la base de clientes de Akamai en el periodo de una semana, según puede leerse en el blog de la compañía escrito por Ory Segal, se encontró que hubo unos 43.000 ataques específicamente dirigidos a los plugins de WordPress en ese tiempo, un total de 66 diferentes plugins de WordPress fueron los objetivos, de los cuales 8 recibieron la mayor cantidad de ataques; y el más atacado, con un 73% de los ataques fue el plugin TimThumb.
Si diseccionamos la información obtenida sobre la localización de los ataques a Timthumb durante este tiempo, se desprende que los responsables fueron 270 atacantes únicos, el 70% de los ataques provenían de sólo 6 atacantes en Francia y el resto provenían principalmente de Italia, Estados Unidos, Alemania, Canadá y Brasil, en este orden. Además, un total de 318 aplicaciones web diferentes fueron objetivo de los ataques durante la semana de muestra. La URL utilizada dentro de la carga explosiva de la RFI apuntaba casi enteramente a webs que se parecían a sitios conocidos como Picasa, Flickr o YouTube por ejemplo.
Además, un análisis en profundidad de la mayoría del código PHP remoto utilizado por los hackers, revela que fue escrito por hackers indonesios, que penetraron y tomaron el control de servidores web legítimos en la web. Este código fue siempre codificado múltiples veces utilizando Base64, ROT13 y Gzip comprimido, probablemente para evitar la detección por anti-virus, WAF o anti-malware. Su propósito es el de instalar dos tipos principales de malware; o bien una página web PHP de ejecución de comando remoto, que permite a los hackers el control remoto de la máquina del servidor web, y les facilita el acceso a todos los archivos del sistema; o un software tipo botnet muy evolucionado con muchas capacidades, tales como mando y control remoto a través de IRC, propagación automática a otros servidores web utilizando vulnerabilidades similares, capacidades de volcado de datos de MySQL, etc.
