Una botnet gigante se come 20.000 sitios WordPress

17 diciembre, 2018
18 Compartido 2,098 Visualizaciones

Los usuarios de WordPress se enfrentan a otro problema de seguridad: el descubrimiento de una botnet gigante. Los ciberdelincuentes han infectado 20.000 sitios WordPress utilizando fuerza bruta para obtener el administrador y contraseña. Están utilizando esas webs para infectar otras instalaciones de WordPress.

La botnet, que la empresa de seguridad de WordPress Wordfence descubrió la semana pasada, infecta las webs usando una funcionalidad conocida como XML-RPC. Esta es un interfaz que permite a una pieza de software realizar peticiones a otra enviando llamadas de procedimientos remotos (RPC) escritas en XML.

Los programas legítimos de software utilizan esta función para enviar contenido a los sitios en WordPress para que le den formato y publicarlo. Los atacantes también lo pueden utilizar para intentar múltiples contraseñas para intentar hacerse con el sitio.

Los atacantes escribieron un script que permitía lanzar un ataque de fuerza bruta basado en XML-PRC, generando automáticamente un rango de usuarios y contraseñas con la esperanza de que alguna de ellas pudiera otorgarles acceso a una cuenta con privilegios. En ese momento pueden usar la cuenta para infectar el sitio con el software de la botnet.

El mecanismo de creación de contraseñas toma una lista de nombres de usuario con otra lista con las contraseñas más habituales y utiliza algoritmos simples para crear nuevas combinaciones de usuario/contraseña. De esta manera puede utilizar un nombre de usuario como “alice” y probarlo con contraseñas similares como alice123, alice2018 etc. Puede que no sea muy efectivo para un único sitio, pero cuando se usa en una multitud, las posibilidades de éxito de los atacantes aumentan, según Wordfence.

Como cualquier botnet, los sitios infectados reciben instrucciones de los ciberdelincuentes vía un servidor de comando y control (C2). En este caso, sin embargo, la infraestructura C2 es relativamente sofisticada. Los atacantes envían las instrucciones desde uno de cuatro servidores C2 que comunican vía proxy, escogidos de una larga lista rusa. Tres de los servidores C2 están alojados en HostSailor, del que el periodista en ciberseguridad Brian Krebs ya informó en el pasado.

Pese a que los servidores C2 presentaban una pantalla de identificación, Wordfence descubrió que no era necesario autentificarse y fueron capaces de ver los detalles sobre las máquinas infectadas, así como la lista de proxy que utilizan para acceder.

¿Cómo se pueden defender los administradores de estos ataques de fuerza bruta? Empresas como Wordfence utilizan técnicas anti fuerza bruta que restringen el número de intentos y bloquean a los atacantes después de muchos fallos.

Un truco sencillo para evitar estos ataques es utilizar una contraseña robusta y un nombre de usuario extraño que sea difícil de acertar. Si lo complementamos con la autenticación de factor múltiple, preferiblemente  utilizando una app de autenticación mejor que autorización SMS, tendremos un nivel extra de seguridad.

Otra medida efectiva es limitar el número de cuentas con privilegios a usuarios con direcciones IP especificas o a clientes con determinados certificados digitales. También es una buena práctica mantener al día la instalación de WordPress.

Por ahora parece que los atacantes están en modo crecimiento, haciendo poco más que aumentar el número de webs infectadas. ¿Qué harán con esos sitios WordPress? Es difícil de adivinar, pero una encuesta anterior de Wordfence sugiere que enviar spam, alojar webs de phishing y lanzar redirecciones maliciosas son los ataques más populares a WordPress.

Si tienes un sitio WordPress, sería importante que comprobaras tus logs en busca de actividad sospechosa, además de comprobar la seguridad de tu contraseña y activar la autenticación de múltiple factor.

Te podría interesar

Filtran un fichero con 1.400 millones de contraseñas robadas
Actualidad
494 visualizaciones
Actualidad
494 visualizaciones

Filtran un fichero con 1.400 millones de contraseñas robadas

José Luis - 14 diciembre, 2017

Según la Cadena Ser se trata de la mayor base de contraseñas robadas descubierta hasta la fecha. La compañía de…

“Queda mucho camino por recorrer, pero ya se habla de que el valor de una empresa se mide, también, por los datos que maneja”
Actualidad
25 compartido1,421 visualizaciones
Actualidad
25 compartido1,421 visualizaciones

“Queda mucho camino por recorrer, pero ya se habla de que el valor de una empresa se mide, también, por los datos que maneja”

Pedro Pablo Merino - 9 enero, 2019

A3Sec es un grupo empresarial presente en España, México, Colombia y Estados Unidos, que provee a sus clientes soluciones en…

Retos y barreras de de la tecnología en las Finanzas 4.0
Actualidad
21 compartido1,405 visualizaciones
Actualidad
21 compartido1,405 visualizaciones

Retos y barreras de de la tecnología en las Finanzas 4.0

Vicente Ramírez - 30 abril, 2018

El software de analítica predictiva, la inteligencia artificial (IA), la nube, la automatización de procesos a través de la robótica…

Deje un comentario

Su email no será publicado