Ataques de Plugin en Wordpress afectan a la cadena de suministro

El equipo de Inteligencia de Amenazas de Wordfence detectó una inyección de código malicioso en complementos de Wordpress.org. inicialmente en el complemento llamado Social Warfare, esto sucedió el 22 de junio pasado. Posteriormente efectuaron una revisión interna, detectando otros cuatro complementos comprometidos con código malicioso.

Detalle de los complementos afectados

• Social Warfare 
• Blaze Widget 
• Wrapper Link Element 
• Contact Form 7 Multi-Step Addon 
• Simply Show Hooks

Aviso a WordPress

Ilustración 1: Aviso a Wordpress 
Fuente: Foro WordPress

Detección del ataque

Los atacantes intentaron infectar estos complementos para ejecutar scripts en los sitios web afectados creando puertas traseras y cuentas de administrador no autorizadas, las cuales fueron enviadas a su servidor de Comando y Control (C&C). El objetivo principal era obtener un control total sobre los sitios web comprometidos, permitiendo el robo de datos, inyectar malware adicional y la redirección de tráfico a sitios web maliciosos.

En la investigación efectuada se detectó que el código JavaScript malicioso no es muy sofisticado ni tampoco estaba bien ofuscado, lo cual permitió que fuera más fácil de rastrear.

Adicionalmente se conoce que se generaron determinados nombres de cuentas con privilegios: Options – PluginAuth.

Plugins Social Warfare en Latinoamérica

Efectuando una búsqueda en motores de detección de internet, fue posible detectar 10 complementos de Social Warfare en Latinoamérica, de estos 4 corresponden a Brasil, 4 a Venezuela, 1 en Colombia y 1 en Chile

Ilustración 2: Mapa Plugin Social Warfare en Latinoamérica
Fuente: Grupo CTI Entel Digita

Apreciación

Este incidente de seguridad que involucra el complemento Social Warfare y otros cuatro complementos de WordPress resalta serias vulnerabilidades en la seguridad de estos plugins. La inyección de código malicioso, que crea cuentas administrativas no autorizadas y añade spam SEO, muestra cómo incluso ataques simples pueden comprometer significativamente la integridad y la reputación de los sitios afectados. Aunque los complementos afectados fueron rápidamente eliminados de WordPress.org, es necesario el uso de herramientas de detección de malware para proteger los entornos de WordPress y mitigar riesgos futuros

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Ejecutar un análisis completo de malware con el complemento de Wordfence o la CLI de Wordfence y eliminar cualquier código malicioso.
• Siga la siguiente guía de limpieza de sitios web comprometidos de WordPress que usan Wordfence. 
• Asegúrese de que todos los plugins y temas se mantengan actualizados a las últimas versiones, ya que los desarrolladores lanzan regularmente parches de seguridad.
• Instale y configure plugins de seguridad confiables como Wordfence o Sucuri que proporcionen protección contra malware y monitoreen actividades sospechosas.
• Regularmente revise las cuentas de usuario administrativo y elimine cualquier cuenta desconocida o no autorizada.
• Ejecute escaneos completos de malware y vulnerabilidades regularmente utilizando herramientas de seguridad para identificar y eliminar código malicioso.
• Habilite la autenticación de dos factores para todas las cuentas administrativas para añadir una capa extra de seguridad.
• Realice copias de seguridad periódicas del sitio web y almacenarlas de manera segura, lo que permitirá restaurar el sitio en caso de una brecha de seguridad.
• Mantenga un registro de actividades para detectar y revisar cualquier actividad sospechosa o no autorizada en el sitio web.
• Configure los permisos de archivo y directorio para restringir el acceso de escritura solo a usuarios necesarios, minimizando así el riesgo de inyecciones de código.
• Prevenga la ejecución de archivos PHP en directorios donde no sea necesario, como en las carpetas de subidas (uploads).
• Retire cualquier plugin o tema que no esté en uso para reducir la superficie de ataque y minimizar posibles vulnerabilidades.
• Desarrollar y aplicar políticas de seguridad que incluyan contraseñas fuertes, prácticas de desarrollo seguras y revisiones de seguridad periódicas.
• Suscribirse a boletines de seguridad y monitorear foros de la comunidad para estar al tanto de nuevas vulnerabilidades y actualizaciones de seguridad.