Antes de empezar, ¿Qué es un plugin?

 

Un plugin se considera una extensión, un “añadido”, un complemento que utilizamos en una aplicación informática, ya sea en WordPress, en nuestro navegador, etc.. aportando una función extra a un determinado programa.

Ahora que ya sabemos que es un plugin, sigamos con el artículo:

 

La información que estamos compartiendo hoy en día se basa en las siguientes métricas de alto nivel:

  • Durante la semana pasada Wordfence ha bloqueado 20.644.496 de ataques únicos a través de todos los sitios que protege.
  • Comprobamos ataques de 73.629 direcciones IP únicas durante este tiempo.
  • 20.622.975 ataques provenían de direcciones IPv4 y 15.160 de esos ataques fueron direcciones IPv6.
  • De los aproximadamente 1.5 millones de sitios activos, que protege, 581.689 de esos sitios recibieron ataques durante la última semana.

La siguiente lista de plugins muestra los plugins que recibieron el mayor número de ataques durante la pasada semana. Una vez más estamos demostrando el ‘slug’ del plugin, que es el nombre del directorio que el plugin utiliza cuando se instala en WordPress.

Esta semana estamos ordenando las cosas de forma ligeramente diferente. Tenemos los plugins ordenados por número de sitios únicos que recibieron ataques, etiquetados como “sitios atacados”. Creemos que esto es un orden más útil, ya que evidencia la persistencia de un ataque está en un plugin en particular, en lugar de sólo el volumen de primas de los ataques.

“Los ataques totales” indica el número total de ataques que ha recibido ese plugin, “IP” es el número total de direcciones IP únicas que recibe un plugin concreto.

” Tipo” es el tipo de ataque – en la mayoría de los casos se trata de un ataque de “Inclusión de archivos locales”, que permite a un atacante para descargar cualquier archivo en el sistema de destino. La gran mayoría de los archivos que están dirigidos son o bien el archivo wp-config.php que contiene el nombre de base de datos de nombre de usuario, contraseña y servidor o /etc /passwd que contiene los nombres de usuario del sistema operativo huésped.
En los que hemos denominado el tipo como “Shell” que indica un ataque que permite a un atacante para cargar un terminal al sitio de destino que les da acceso remoto completo. Estas son las vulnerabilidades más graves.
Todos los ataques son en las vulnerabilidades que ya son conocidos públicamente. Si ejecuta cualquiera de estos plugins de WordPress,asegúrese de que:

 

  1. Está utilizando la versión más reciente del plugin
  2. Esa versión no tiene ningún vulnerabilidades conocidas
  3. Está ejecutando Wordfence con el Firewall activado

Lista de plugins más atacados:

 

Nombre Plugin Sitios atacados Ataques totales IPs Tipo
recent-backups 182.525 351.014 3.467 LFI
wp-symposium 149.860 242.715 3.460 Shell
google-mp3-audio-player 138.282 307.743 2.032 LFI
db-backup 129.519 287.043 2.189 LFI
wptf-image-gallery 107.000 131.938 2.846 LFI
wp-ecommerce-shop-styling 103.471 131.011 2.887 LFI
candidate-application-form 103.017 127.359 2.820 LFI
wp-miniaudioplayer 91.546 196.557 1.381 LFI
ebook-download 88.461 189.640 1.408 LFI
ajax-store-locator-wordpress_0 86.051 119.192 1.396 LFI
hb-audio-gallery-lite 82.041 105.618 1.505 LFI
simple-ads-manager 70.683 166.131 6.476 Shell
revslider 53.549 145.626 407 Shell
inboundio-marketing 53.063 112.696 874 Shell
wpshop 51.609 111.546 830 Shell
dzs-zoomsounds 51.089 225.032 731 Shell
reflex-gallery 49.853 111.624 699 Shell
wp-mobile-detector 38.764 115.235 800 Shell
formcraft 25.192 52.604 668 Shell
sexy-contact-form 19.076 50.649 316 Shell
filedownload 12.584 19.400 353 LFI
plugin-newsletter 11.982 23.887 451 LFI
simple-download-button-shortcode 11.558 21.502 427 LFI
pica-photo-gallery 11.059 16.587 262 LFI
tinymce-thumbnail-gallery 10.972 16.429 263 LFI
dukapress 10.814 16.235 333 LFI
wp-filemanager 10.756 16.634 331 LFI
history-collection 10.427 24.371 607 LFI
s3bubble-amazon-s3-html-5-video-with-adverts 10.312 24.011 595 LFI
simple-image-manipulator 7.268 8.272 448 LFI
ibs-mappro 5.555 18.738 448 LFI
image-export 5.442 6.047 266 LFI
abtest 5.431 5.885 297 LFI
wp-swimteam 5.119 5.433 238 LFI
contus-video-gallery 4.921 17.866 345 LFI
sell-downloads 4.393 4.746 240 LFI
brandfolder 4.268 4.619 230 LFI
thecartpress 4.164 4.534 274 LFI
advanced-uploader 4.066 4.351 203 LFI
aviary-image-editor-add-on-for-gravity-forms 3.548 5.749 247 Shell
wp-post-frontend 1.811 16.690 294 Shell
[redacted]* 1.716 2.133 65 Shell
mdc-youtube-downloader 1.039 5.517 199 LFI
document_manager 915 4.450 148 LFI
paypal-currency-converter-basic-for-woocommerce 797 1.133 129 LFI
justified-image-grid 788 17.852 35 LFI
cherry-plugin 539 3.919 31 Shell
aspose-cloud-ebook-generator 531 720 25 LFI
gwolle-gb 331 406 46 LFI

Notas

 

El gran número de vulnerabilidades de inclusión de archivos locales que se están explotando es sorprendente. También debo señalar que muchos de estos de LFI fueron descubiertos por Larry Cashdollar que tuve el placer de ver a hablar en la Defcon en Las Vegas hace 2 semanas. Por lo que sospecho que muchos de ellos están siendo utilizados en una secuencia de comandos de ataque de algún tipo que puede explicar su prevalencia en los ataques que estamos viendo.

La agrupación de Shell y LFI juntos en la lista de pedidos es raro, pero no tengo una teoría para explicar eso y no hay error en los datos que da cuenta de eso. Parece ser coincidencia.

La vulnerabilidad de las copias de seguridad recientes de plugin en la parte superior de la lista se dio a conocer en agosto de 2015 y el plugin ahora ha sido retirado del repositorio, probablemente porque no se mantenía. El gran número de exploits dirigidos a este plugin son desconcertantes porque por lo que puedo decir de archive.org, el plugin sólo tenía unos pocos miles de instalaciones. Puede ser debido a que es muy fácil de “Google dork” para encontrar sitios que son vulnerables y la abundancia de sitios diana pueda hacer éste un objetivo atractivo.

Como nota final, me gustaría añadir que esta información es simplemente una indicación del volumen de los ataques que estamos viendo en los plugins a través de la gran superficie de ataque que es WordPress, en los sitios web que están protegidos por Wordfence. No da ninguna indicación de si un plugin en esta lista es más o menos seguros que otros. No se incluyen datos sobre cómo pueden o no pueden ser ataques con éxito en los plugins que se muestran. Es meramente una indicación de la actividad de ataques en el mundo de WordPress durante la semana pasada.


Artículo original de Mark.

Fuente Wordfence.