Top 20. Temas atacados en WordPress y quien hay detrás de estos ataques

Top 20. Temas atacados en WordpressHoy estamos publicando estadísticas sobre los ataques que estamos viendo en los temas de WordPress. El Wordfence Firewall nos proporciona información con telemetría a través de un gran número de sitios que nosotros protegemos. La información que estamos compartiendo hoy en día se basa en las siguientes métricas de alto nivel:

  • Un análisis de 15.949.826 ataques totales en los últimos 7 días – desde el lunes 1 de agosto al lunes 8 de agosto en los sitios que Wordfence protege.
  • Los ataques a 519.592 sitios web únicos del cliente Wordfence.
  • Los ataques procedentes de un total de 72.896 direcciones IP únicas.

El “Tema Slug” es un término usado en WordPress. Se refiere al nombre de directorio único que se crea en el wp-content/themes/ para el tema cuando éste se instala. Esto se identifica de forma exclusiva en los temas de WordPress.
La tabla muestra los ataques totales que grabamos en ese tema en todos los sitios, el número de direcciones IP que lanzaron un ataque sobre el tema y el número de sitios únicos que grabamos de ataques dirigiéndose a ese tema. Para que quede claro, que no es el número de sitios que se ejecutan en realidad el tema. Es simplemente el número de sitios donde alguien intentó atacar el tema, tanto si se ha instalado o como si no.

Explicamos por qué la mayoría de estos temas están siendo atacados y lo que significa la columna “Bulk Disclosed”, a continuación de la tabla.

TemaAtaquesIPs únicas de atacantesSitios atacadosTipo de vulnerabilidadBulk Disclosed
churchope172.7822.05563.115LFIX
mTheme-Unus163.6442.30390.803LFI 
lote27135.9481.92260.638LFIX
SMWF121.7251.46685.228LFIX
markant118.9621.39983.418LFIX
felis118.4371.43181.800LFIX
MichaelCanthony114.5031.38979.059LFIX
TheLoft113.9901.38778.644LFIX
parallelus-mingle105.6481.56854.279 LFI 
urbancity96.8101.67856.952LFIX
trinity89.6031.41052.326LFIX
authentic82.6921.81737.312LFIX
parallelus-salutation73.0251.62835.886 LFI 
elegance68.9281.00921.726 LFI 
awake68.4241.03121.323 LFI 
antioch63.1741.36526.243LFIX
modular62.47099019.770LFI 
epic53.90392517.400LFIX
infocus52.73998919.942 LFI 
Newspapertimes_150.70794329.297 LFI 

 

Quien ataca estos temas?

Top 20. Temas atacados en Wordpress ; Ataques temas WordPress cmd 1
Fuente: Wordfence

Ya en diciembre de 2014 un investigador dió a conocer un gran número de vulnerabilidades en los temas de WordPress. La descripción incluye una secuencia de comandos que se dirige a un solo sitio y trata de aprovechar las vulnerabilidades en un gran número de temas. Las vulnerabilidades que trata de explotar son todas las vulnerabilidades de inclusión de archivos.
En los comentarios en la parte superior de la secuencia de comandos que se dio a conocer, el investigador también incluye un ejemplo de cómo utilizar el script con el potente escáner INURLBR que también escribió. Esto permite a los atacantes y presumiblemente otros investigadores a encontrar y explotar sitios de WordPress al tratar de aprovechar las vulnerabilidades descritas de los temas.

Este es el ejemplo que se incluye en la descripción:
./inurlbr.php –dork ‘inurl:/wp-content/themes/’ -q 1,6 -s save.txt \
–comand-all “php exploit.php _TARGET_”

En las estadísticas que hemos editado anteriormente, todos los temas marcados con una X (Bulk Disclosed) se incluyen en la descripción y que incluía inurlbr en el ejemplo. Así que pensamos que lo que está sucediendo es que los llamados “script kiddies” (hackers) no sofisticados están cogiendo el ejemplo original del investigador de diciembre de 2014 y tratando de aprovechar las vulnerabilidades de los temas con versiones más antiguas.

Top 20. Temas atacados en Wordpress ; Ataques temas WordPress cmd 2;
Fuente: Wordfence

Pero que es INURLBR?

INURLBR es una herramienta en lenguaje de programación PHP que nos servirá como motor de búsqueda y nos permitirá hacer un análisis de vulnerabilidades. Es decir,  aprovecha el poder de la información que ya está indexada por los motores de búsqueda analizando un objetivo para cualquier posible intrusión. 

Todos estos “exploits” están siendo bloqueados por el cortafuegos de Wordfence. También es probable que muchos, posiblemente todos los temas, hayan ya corregido esta vulnerabilidad aunque se recomienda que si se utiliza cualquiera de estos temas verifique con su proveedor que la versión actual no contiene vulnerabilidades.

El escáner INURLBR ha evolucionado desde que fue lanzado por primera vez en julio de 2014, siendo una poderosa herramienta que permite localizar a los atacantes de Wordpress y de otros CMS. El escáner incluye:

  • El apoyo a una amplia gama de motores de búsqueda para “Google dork” y encontrar objetivos para el ataque.
  • Bulk exploiting de los objetivos de una vez encontrado.
  • La capacidad de utilizar servidores proxy para ocultar las consultas y los exploits entrantes.
  • La capacidad de rotar los proxies para cambiar constantemente IP.
  • Capacidad de ocultarse detrás de Tor (The Onion Router, sirve para navegar anónimamente)
  • Puede enviar sitios vulnerables a un canal de IRC, presumiblemente para la integración botnet.
  • Incluye muchas otras características como expresión regular coincidente / extracción y mucho más.

Es posible que muchos usuarios estén utilizando INURLBR antes de lanzar ataques más sofisticados. Eso podría explicar por qué esos temas originales están dominando nuestro top 20 de la lista de temas explotados.


Artículo original de Mark.

Fuente Wordfence.