Hoy estamos publicando estadísticas sobre los ataques que estamos viendo en los temas de WordPress. El Wordfence Firewall nos proporciona información con telemetría a través de un gran número de sitios que nosotros protegemos. La información que estamos compartiendo hoy en día se basa en las siguientes métricas de alto nivel:

  • Un análisis de 15.949.826 ataques totales en los últimos 7 días – desde el lunes 1 de agosto al lunes 8 de agosto en los sitios que Wordfence protege.
  • Los ataques a 519.592 sitios web únicos del cliente Wordfence.
  • Los ataques procedentes de un total de 72.896 direcciones IP únicas.

El “Tema Slug” es un término usado en WordPress. Se refiere al nombre de directorio único que se crea en el wp-content/themes/ para el tema cuando éste se instala. Esto se identifica de forma exclusiva en los temas de WordPress.
La tabla muestra los ataques totales que grabamos en ese tema en todos los sitios, el número de direcciones IP que lanzaron un ataque sobre el tema y el número de sitios únicos que grabamos de ataques dirigiéndose a ese tema. Para que quede claro, que no es el número de sitios que se ejecutan en realidad el tema. Es simplemente el número de sitios donde alguien intentó atacar el tema, tanto si se ha instalado o como si no.

Explicamos por qué la mayoría de estos temas están siendo atacados y lo que significa la columna “Bulk Disclosed”, a continuación de la tabla.

Tema Ataques IPs únicas de atacantes Sitios atacados Tipo de vulnerabilidad Bulk Disclosed
churchope 172.782 2.055 63.115 LFI X
mTheme-Unus 163.644 2.303 90.803 LFI
lote27 135.948 1.922 60.638 LFI X
SMWF 121.725 1.466 85.228 LFI X
markant 118.962 1.399 83.418 LFI X
felis 118.437 1.431 81.800 LFI X
MichaelCanthony 114.503 1.389 79.059 LFI X
TheLoft 113.990 1.387 78.644 LFI X
parallelus-mingle 105.648 1.568 54.279  LFI
urbancity 96.810 1.678 56.952 LFI X
trinity 89.603 1.410 52.326 LFI X
authentic 82.692 1.817 37.312 LFI X
parallelus-salutation 73.025 1.628 35.886  LFI
elegance 68.928 1.009 21.726  LFI
awake 68.424 1.031 21.323  LFI
antioch 63.174 1.365 26.243 LFI X
modular 62.470 990 19.770 LFI
epic 53.903 925 17.400 LFI X
infocus 52.739 989 19.942  LFI
Newspapertimes_1 50.707 943 29.297  LFI

 

Quien ataca estos temas?

Ya en diciembre de 2014 un investigador dió a conocer un gran número de vulnerabilidades en los temas de WordPress. La descripción incluye una secuencia de comandos que se dirige a un solo sitio y trata de aprovechar las vulnerabilidades en un gran número de temas. Las vulnerabilidades que trata de explotar son todas las vulnerabilidades de inclusión de archivos.
En los comentarios en la parte superior de la secuencia de comandos que se dio a conocer, el investigador también incluye un ejemplo de cómo utilizar el script con el potente escáner INURLBR que también escribió. Esto permite a los atacantes y presumiblemente otros investigadores a encontrar y explotar sitios de WordPress al tratar de aprovechar las vulnerabilidades descritas de los temas.

Este es el ejemplo que se incluye en la descripción:
./inurlbr.php –dork ‘inurl:/wp-content/themes/’ -q 1,6 -s save.txt \
–comand-all “php exploit.php _TARGET_”

En las estadísticas que hemos editado anteriormente, todos los temas marcados con una X (Bulk Disclosed) se incluyen en la descripción y que incluía inurlbr en el ejemplo. Así que pensamos que lo que está sucediendo es que los llamados “script kiddies” (hackers) no sofisticados están cogiendo el ejemplo original del investigador de diciembre de 2014 y tratando de aprovechar las vulnerabilidades de los temas con versiones más antiguas.

Pero que es INURLBR?

INURLBR es una herramienta en lenguaje de programación PHP que nos servirá como motor de búsqueda y nos permitirá hacer un análisis de vulnerabilidades. Es decir,  aprovecha el poder de la información que ya está indexada por los motores de búsqueda analizando un objetivo para cualquier posible intrusión.

Todos estos “exploits” están siendo bloqueados por el cortafuegos de Wordfence. También es probable que muchos, posiblemente todos los temas, hayan ya corregido esta vulnerabilidad aunque se recomienda que si se utiliza cualquiera de estos temas verifique con su proveedor que la versión actual no contiene vulnerabilidades.

El escáner INURLBR ha evolucionado desde que fue lanzado por primera vez en julio de 2014, siendo una poderosa herramienta quepermite localizar a los atacantes de WordPress y de otros CMS. El escáner incluye:

  • El apoyo a una amplia gama de motores de búsqueda para “Google dork” y encontrar objetivos para el ataque.
  • Bulk exploiting de los objetivos de una vez encontrado.
  • La capacidad de utilizar servidores proxy para ocultar las consultas y los exploits entrantes.
  • La capacidad de rotar los proxies para cambiar constantemente IP.
  • Capacidad de ocultarse detrás de Tor (The Onion Router, sirve para navegar anónimamente)
  • Puede enviar sitios vulnerables a un canal de IRC, presumiblemente para la integración botnet.
  • Incluye muchas otras características como expresión regular coincidente / extracción y mucho más.

Es posible que muchos usuarios estén utilizando INURLBR antes de lanzar ataques más sofisticados. Eso podría explicar por qué esos temas originales están dominando nuestro top 20 de la lista de temas explotados.


Artículo original de Mark.

Fuente Wordfence.