Cuidado: blogs con WordPress están siendo atacados

Se ha levantado una nueva alarma que concierne a miles de personas de todo el mundo que cuentan con un blog que funciona bajo WordPress (la última versión, la 2.9.2 es vulnerable también); varios blogs han sido atacados y ahora se encuentran infectados, distribuyendo malware sin que los administradores de dichos sitios se hayan dado cuenta. Lo peor es que afecta a versiones self-hosted (instaladas en servidor propio) de WordPress.

Aparentemente esta vulnerabilidad tiene que ver con una inyección SQL o con alguna falla de un theme o plugin; también podría ser culpa de alguna librería desactualizada como Magpie que se distribuye con WordPress. Por ahora solo son especulaciones pues el problema no se ha identificado plenamente.

wordpress-hack.jpg

El problema se suscita cuando el campo siteurl de la tabla wp_options es reemplazado por un código HTML. Dicho campo guarda la URL del blog (es decir, ese campo no está diseñado para albergar código HTML), por lo que al ser consumado el ataque, posiblemente el sitio afectado deje de cargar.

El mayor número de casos que se han presentado hasta ahora tiene que ver con la empresa Network Solutions, aunque otros sitios en VPS.net también han sido afectados por lo que probablemente este ataque sea independiente de la compañía que brinda el hosting pues el hoyo de seguridad está en el mismo WordPress y no en un defecto de configuración o de hardware.

Es importante estar alerta y revisar continuamente los sitios para asegurarse de que no haya problemas; en caso de encontrar un comportamiento anormal, es recomendable revisar la base de datos y especialmente el campo siteurl.

Por lo pronto Sucuri Security Labs y Trend Micro han reportado este ataque; Trend Micro anuncia que su antivirus detecta el problema como TROJ_BUZUS.ZYX (ver más información sobre este virus), que conlleva a una infección por malware, y en ciertos casos, puede instalar un antivirus falso en el equipo de los usuarios.

Actualización: Además de propagar malware, esta infección puede lograr que se generen backdoors (puertas traseras), es decir, que los administradores y usuarios podrían ver una versión normal del sitio, pero los motores de búsqueda podrían estar viendo de hecho otra versión de sitio, lo cual es especialmente peligroso y nocivo para los asuntos relacionados con el SEO.

Vía | Download Squad y gHacks