Una botnet gigante se come 20.000 sitios WordPress

17 diciembre, 2018
18 Compartido 2,056 Visualizaciones

Los usuarios de WordPress se enfrentan a otro problema de seguridad: el descubrimiento de una botnet gigante. Los ciberdelincuentes han infectado 20.000 sitios WordPress utilizando fuerza bruta para obtener el administrador y contraseña. Están utilizando esas webs para infectar otras instalaciones de WordPress.

La botnet, que la empresa de seguridad de WordPress Wordfence descubrió la semana pasada, infecta las webs usando una funcionalidad conocida como XML-RPC. Esta es un interfaz que permite a una pieza de software realizar peticiones a otra enviando llamadas de procedimientos remotos (RPC) escritas en XML.

Los programas legítimos de software utilizan esta función para enviar contenido a los sitios en WordPress para que le den formato y publicarlo. Los atacantes también lo pueden utilizar para intentar múltiples contraseñas para intentar hacerse con el sitio.

Los atacantes escribieron un script que permitía lanzar un ataque de fuerza bruta basado en XML-PRC, generando automáticamente un rango de usuarios y contraseñas con la esperanza de que alguna de ellas pudiera otorgarles acceso a una cuenta con privilegios. En ese momento pueden usar la cuenta para infectar el sitio con el software de la botnet.

El mecanismo de creación de contraseñas toma una lista de nombres de usuario con otra lista con las contraseñas más habituales y utiliza algoritmos simples para crear nuevas combinaciones de usuario/contraseña. De esta manera puede utilizar un nombre de usuario como “alice” y probarlo con contraseñas similares como alice123, alice2018 etc. Puede que no sea muy efectivo para un único sitio, pero cuando se usa en una multitud, las posibilidades de éxito de los atacantes aumentan, según Wordfence.

Como cualquier botnet, los sitios infectados reciben instrucciones de los ciberdelincuentes vía un servidor de comando y control (C2). En este caso, sin embargo, la infraestructura C2 es relativamente sofisticada. Los atacantes envían las instrucciones desde uno de cuatro servidores C2 que comunican vía proxy, escogidos de una larga lista rusa. Tres de los servidores C2 están alojados en HostSailor, del que el periodista en ciberseguridad Brian Krebs ya informó en el pasado.

Pese a que los servidores C2 presentaban una pantalla de identificación, Wordfence descubrió que no era necesario autentificarse y fueron capaces de ver los detalles sobre las máquinas infectadas, así como la lista de proxy que utilizan para acceder.

¿Cómo se pueden defender los administradores de estos ataques de fuerza bruta? Empresas como Wordfence utilizan técnicas anti fuerza bruta que restringen el número de intentos y bloquean a los atacantes después de muchos fallos.

Un truco sencillo para evitar estos ataques es utilizar una contraseña robusta y un nombre de usuario extraño que sea difícil de acertar. Si lo complementamos con la autenticación de factor múltiple, preferiblemente  utilizando una app de autenticación mejor que autorización SMS, tendremos un nivel extra de seguridad.

Otra medida efectiva es limitar el número de cuentas con privilegios a usuarios con direcciones IP especificas o a clientes con determinados certificados digitales. También es una buena práctica mantener al día la instalación de WordPress.

Por ahora parece que los atacantes están en modo crecimiento, haciendo poco más que aumentar el número de webs infectadas. ¿Qué harán con esos sitios WordPress? Es difícil de adivinar, pero una encuesta anterior de Wordfence sugiere que enviar spam, alojar webs de phishing y lanzar redirecciones maliciosas son los ataques más populares a WordPress.

Si tienes un sitio WordPress, sería importante que comprobaras tus logs en busca de actividad sospechosa, además de comprobar la seguridad de tu contraseña y activar la autenticación de múltiple factor.

Te podría interesar

Consent Manager, la extensión que dice NO a las cookies por ti
Actualidad
12 compartido1,827 visualizaciones
Actualidad
12 compartido1,827 visualizaciones

Consent Manager, la extensión que dice NO a las cookies por ti

Vicente Ramírez - 8 agosto, 2018

PrivacyCloud lanza Consent Manager, la extensión que permite rechazar automáticamente las peticiones de cookies para mejorar la privacidad. PrivacyCloud, la…

Los ciberataques se incrementan con motivo de la declaración de la Renta 2017
Actualidad
20 compartido1,200 visualizaciones
Actualidad
20 compartido1,200 visualizaciones

Los ciberataques se incrementan con motivo de la declaración de la Renta 2017

Vicente Ramírez - 10 abril, 2018

Llega el momento que muchos ciberdelincuentes aprovechan para ganar un pico importante de dinero: la campaña de la Renta. Cada…

Ayudan a eliminar siete vulnerabilidades en una solución de plataforma IoT industrial
Soluciones Seguridad
14 compartido921 visualizaciones
Soluciones Seguridad
14 compartido921 visualizaciones

Ayudan a eliminar siete vulnerabilidades en una solución de plataforma IoT industrial

Vicente Ramírez - 29 enero, 2019

Los expertos de Kaspersky Lab han ayudado a identificar y parchear siete vulnerabilidades previamente desconocidas en la suite ThingsPro, una…

Deje un comentario

Su email no será publicado