Zero Day en WordPress

Reading time aprox: 3 minutes, 23 seconds

Zero Day en WordPress.

Quizá has visto este término escrito como O-Day o, Zero Day o, Día Cero; en cualquier caso podemos resumir su interpretación como: «Un grave problema de seguridad o vulnerabilidad en un programa o aplicación para el que en ese momento, no existe una solución, parche o actualización».

Lo cierto es que cerca del 80% de ataques a gran escala que se producen son debido a un Zero-Day en dispositivos hardware o software.

Cuando las vulnerabilidades son nuevas o desconocidas por las distintas soluciones que los detectan, se denominan ataques Zero-Day. En consecuencia, a estas se las conoce como vulnerabilidades de día cero.

¿Por qué ocurren ataques Zero-Day?

Para un atacante (cuidado con confundir con un «Hacker»), descubrir una vulnerabilidad día cero y atacar en base a ello tiene sus ventajas.

El tiempo de respuesta y recuperación después de haberse detectado el ataque puede ser muy alto y, pasar días hasta que el fabricante o la comunidad lance un parche que solucione el problema.

Esto ocurre porque se debe saber: acerca de qué trata el ataque, por qué se dio, cuál es la causa raíz y qué hacer para poder solucionarlo, así como tener en cuenta el tiempo que se tarda desde que se lanza el parche hasta que todos los usuarios afectados lo instalan, ya que no es instantáneo.

¿Qué puedo hacer para evitarlo?

Obviamente, lo importante es proteger tu dispositivo y, parar eso, lo más importante es el sentido común, el solo hecho de instalar un antivirus, anti-malware o una completa solución de seguridad no es suficiente.

Una medida importante a aplicar es mantener actualizado el software que utilizas. Tanto el sistema operativo como los distintos programas. Estos se actualizan porque incluyen parches de seguridad ante vulnerabilidades y ataques de día cero que han sido descubiertos.

La falta de actualización es quizá el vector de ataque más importante.

Zero Day en WordPress.

Vías de ataque

Los que se dedican al malware son capaces de aprovecharse de estas vulnerabilidades mediante diferentes vías de ataque. Por ejemplo, códigos en webs que revelan vulnerabilidades en navegadores. Los navegadores son un objetivo especial debido a su amplia distribución y uso.

Otra forma de aprovechar estos fallos es utilizar aplicaciones que abren ciertos documentos que revelan los fallos. Los exploits que pueden mejorar el software se revelan en bases de datos como US-CERT.

Zero Day en WordPress

Como he dicho en muchas ocasiones, WordPress no es distinta de otras aplicaciones informáticas y, por tanto sufre de este tipo de ataques, independientemente del servidor donde esté alojada.

Las vulnerabilidades de día cero se producen no sólo en el core de WordPress, sino también en sus añadidos, los plugins y los Temas.

Recientemente se ha descubierto una vulnerabilidad del tipo Zero-Day que pertenece a un plugin, pero que afecta al conjunto del sitio en donde se usa el plugin afectado.

¿De qué se trata esta vez?

El plugin afectado y que nos interesa en esta ocasión, es «Fancy Product Designer que crea complementos de seguridad de Wordfence para el CMS.

Se ha observado que los atacantes utilizan el día cero para enviar malware a los sitios con el plugin instalado.

Existe evidencia que indica que la laguna de seguridad, que se puede utilizar indebidamente para ganar control total del sitio web, se aprovechó ya el 30 de enero de 2021.

El plugin permite a los usuarios personalizar cualquier tipo de producto, desde prendas de vestir hasta accesorios y artículos para el hogar, cargando sus propias imágenes o archivos PDF.

Es utilizado por una variedad de plataformas, incluidas WordPress, WooCommerce y Shopify.

Según Ram Gall, ingeniero de control de calidad de Wordfence, «Desafortunadamente, aunque el complemento tenía algunas comprobaciones para evitar que se cargaran archivos maliciosos, estas comprobaciones eran insuficientes y se podían omitir fácilmente, lo que permitía a los atacantes cargar archivos PHP ejecutables en cualquier sitio con el plugin instalado. Esto hizo posible que cualquier atacante lograra la ejecución remota de código en un sitio afectado, lo que permitió la toma de control total del sitio».

Según el análisis de Defiant, la mayoría de los ataques parecen provenir de tres direcciones IP específicas. Los atacantes están apuntando a sitios web de comercio electrónico con el objetivo de obtener información sobre pedidos de las bases de datos del proveedor.

Los datos que podrían extraerse de estos pedidos pueden incluir información de identificación personal de los clientes. Esto podría significar problemas para los operadores de sitios web, ya que los pone en riesgo de violar las reglas de cumplimiento de PCI-DSS1.

Según la Guía de cumplimiento de PCI, las sanciones por incumplimiento pueden oscilar entre USD $5.000 y USD $100.000 por mes por infracciones.

Zero Day en WordPress.

En ese sentido, también vale la pena mencionar que si el sitio web maneja los datos de ciudadanos de la UE y su información está expuesta, las empresas entrarían en conflicto con el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, que también podría acarrear fuertes multas.

Según el informe, si un ataque tiene éxito, aparecerán varios archivos en la carpeta wp-admin o wp-content/plugins, con una carga útil inicial entregada que luego se utiliza para recuperar malware adicional de otro sitio web.

El equipo de Wordfence notificó al desarrollador del complemento sobre la vulnerabilidad el 31 de mayo y recibió una respuesta en 24 horas. El 2 de junio se lanzó una versión parcheada, Fancy Product Designer 4.6.9.

Se recomienda a los administradores de los sitios web que usan ese plugin que lo parcheen de inmediato, ya que en alguna configuración específica, la vulnerabilidad podría explotarse incluso si el complemento en sí está desactivado.

Conclusión

Los ciberataques y el ciber-terrorismo son dos temas de moda, pero más allá de su «novedad», la seguridad en WordPress es algo que no se debe pasar por alto.

Mantenerse al día en temas importantes es labor de cualquier administrador de sistemas y, muchas veces es algo que sobrepasa las capacidades y conocimientos de un diletante.

Mientras tanto, recuerda, #UsaMascarilla, #LavateLasManos, juega, experimenta y, sobre todo, ¡divertirte!


¡Gracias por leernos!


¡Tus comentarios y preguntas nos ayudan a mejorar, por favor comenta!


  1. Estándar de seguridad de datos de la industria de tarjetas de pago 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

3 × 3 =

Para ofrecer las mejores experiencias, utilizamos tecnologías como las cookies para almacenar y/o acceder a la información del dispositivo. El consentimiento de estas tecnologías nos permitirá procesar datos como el comportamiento de navegación o las identificaciones únicas en este sitio. No consentir o retirar el consentimiento, puede afectar negativamente a ciertas características y funciones.    Más información
Privacidad