Un ataque a la cadena de suministro utilizó complementos legítimos de WordPress para hacer backdoor
Decenas de complementos legítimos de WordPress descargados de sus fuentes originales han sido encontrados como puerta trasera a través de un ataque a la cadena de suministro, dijeron los investigadores. La puerta trasera se ha encontrado en “bastantes” sitios que ejecutan el sistema de gestión de contenidos de código abierto.
La puerta trasera daba a los atacantes el control administrativo total de los sitios web que utilizaban al menos 93 plugins y temas de WordPress descargados de AccessPress Themes. La puerta trasera fue descubierta por investigadores de seguridad de JetPack, el fabricante de software de seguridad propiedad de Automatic, proveedor del servicio de alojamiento WordPress.com y uno de los principales contribuyentes al desarrollo de WordPress. En total, Jetpack descubrió que 40 temas y 53 plugins de AccessPress estaban afectados.
Proporcionar acceso al atacante sin saberlo
En un post publicado el jueves, el investigador de Jetpack Harald Eilertsen dijo que las marcas de tiempo y otras pruebas sugerían que las puertas traseras se introdujeron intencionadamente en una acción coordinada después de que los temas y los plugins fueran publicados. El software afectado se podía descargar directamente del sitio de AccessPress Themes. Los mismos temas y plugins reflejados en WordPress.org, el sitio oficial de desarrolladores del proyecto WordPress, permanecieron limpios.
“Los usuarios que utilizaron el software obtenido directamente del sitio web de AccessPress proporcionaron, sin saberlo, a los atacantes un acceso de puerta trasera, lo que dio lugar a un número desconocido de sitios web comprometidos”, escribió Ben Martin, investigador de la empresa de seguridad web Sucuri, en un análisis de la puerta trasera.
Dijo que el software contaminado contenía un script llamado initial.php que se añadía al directorio principal del tema y luego se incluía en el archivo principal functions.php. Initial.php, según el análisis, actuaba como un dropper que utilizaba la codificación base64 para camuflar un código que descargaba una carga útil de wp-theme-connect[.]com y la utilizaba para instalar el backdoor como wp-includes/vars.php. Una vez instalado, el dropper se autodestruía en un intento de mantener el ataque sigiloso.
El puesto de Jetpack aseguró que la evidencia indica que el ataque de la cadena de suministro en AccessPress Temas se llevó a cabo en septiembre. Martin, sin embargo, mencionó que la evidencia sugiere que la puerta trasera en sí es mucho más antigua que eso. Algunos de los sitios web infectados tenían cargas útiles de spam que databan de hace casi tres años. Dijo que su mejor conjetura es que las personas detrás de la puerta trasera estaban vendiendo el acceso a los sitios infectados a las personas que empujan el spam web y el malware.
Escribió: “Con una oportunidad tan grande a su alcance, uno pensaría que los atacantes habrían preparado alguna carga útil o malware nuevo e interesante, pero por desgracia, parece que el malware que hemos encontrado asociado a esta puerta trasera es más de lo mismo: spam y redirecciones a sitios de malware y estafa”.
El post de Jetpack proporciona los nombres completos y las versiones del software AccessPress infectado. Cualquiera que ejecute un sitio de WordPress con las ofertas de esta empresa debe inspeccionar cuidadosamente sus sistemas para asegurarse de que no están ejecutando una instancia backdoored. Los propietarios de sitios también pueden considerar la instalación de un firewall para sitios web, muchos de los cuales habrían impedido el funcionamiento de la puerta trasera.
El ataque es el último ejemplo de un ataque a la cadena de suministro, que compromete la fuente de una pieza legítima de software en lugar de tratar de infectar a los usuarios individuales. Esta técnica permite a los delincuentes infectar a un gran número de usuarios y tiene la ventaja de la ocultación, ya que el malware comprometido procede de un proveedor de confianza.
Los intentos de contactar con AccessPress Themes para obtener comentarios fueron infructuosos.
[content-egg module=Youtube template=custom/simple]Lo más visto del mes en: Informática

Jessica Ávila
Me apasiona la música y todo lo relacionado con lo audiovisual desde muy joven, y crecí en esta carrera que me permite utilizar mis conocimientos sobre tecnología de consumo día a día. Puedes seguir mis artículos aquí en Elenbyte para obtener información sobre algunos de los últimos avances tecnológicos, así como los dispositivos más sofisticados y de primera categoría a medida que estén disponibles.