Descargar

01-2015
Slider Revolution para WordPress
(Vulnerabilidad en el plugin)
Algunos Consejos sobre
cómo cuidarse del Virus
SoakSoak para WordPress:
WordPress
http://victima.com/wp-admin/admin-ajax.php?
action=revslider_show_image&img=../wp-config.php
El problema viene generado
porque
los
desarrolladores
incluyen este plugin en sus temas
premium y el usuario final lo
ignora en la mayor parte de los
casos. Como éste módulo no
tiene sistema de notificación de
nuevas actualizaciones, depende
del desarrollador estar pendiente
de las nuevas versiones para
actualizar su tema y esto no es
un método eficaz.
El Slider Revolution viene incluido en muchos temas comerciales, algunos de
ellos que utilizan este plugin son:
Es por todo esto que desde el
VenCERT te brindamos los
siguientes consejos:
RevSlider es una vulnerabilidad del tipo LFI (Local File Inclusion), que nos
permite ver el contenido de cualquier archivo en el servidor. Aprovechándose
de esta vulnerabilidad se puede leer el archivo wp-config.php y obtener las
credenciales de las bases de datos de un blog WordPress, tal como se
muestra en el siguiente ejemplo:
●
●
●
●
●
●
●
WordPress IncredibleWP Theme.
WordPress Ultimatum Theme.
WordPress Medicate Theme.
WordPress Centum Theme.
WordPress Avada Theme.
WordPress Striking Theme.
WordPress Beach Apollo.
Los Webmasters de estos
sitios web hackeados deben
limpiar
los
tres
archivos
anteriormente
mencionados
(swfobjct.swf) debe eliminarse.
Encontrar y eliminar todos los
backdooors.
La vulnerabilidad que poseen estos temas, es un claro ejemplo del por qué
nos debemos mantener alejados de las compras de ciertos contenidos y
plugins premium en tiendas online. Para este caso el modulo afectado no
incluye algún método de notificación de nuevas versiones,y por ende todos los
sitios que poseen este plugin se han visto perjudicados por el virus SoakSoak,
el mismo utiliza la vulnerabilidad de RevSlider como un punto de penetración
y carga una puerta trasera e infecta a todos los sitios web que comparten la
misma cuenta del servidor.
Actualizar el plugin RevSlider
(el cual puede ser una parte de
los temas y otros plugins,
consultar todos y eliminar lo que
no es necesario).Si usted no
puede borrar puertas traseras y
cerrar el agujero de seguridad, su
sitio puede volver a infectarse
muy pronto.
Para proteger su sitio de el
SoakSoak y muchos ataques
futuros, lo puede colocar detrás
de su Firewall para que este se
encarguq
de
bloquea
las
solicitudes maliciosas antes de
que lleguen a su servidor.
SIEMPRE INFÓRMATE. Un
usuario informado, es menos
vulnerable a los ataques de ciberdelincuentes.
@vencert
VenCERT Oficial
Team VenCERT
http://www.vencert.gob.ve/
0800-VenCERT (8362378) - [email protected]
01-2015
Slider Revolution para WordPress
(Vulnerabilidad en el plugin)
De igual manera los sitios web que se encuentren relacionados con el portal afectado, pueden ser infectados
por medio de estos dos archivos:
●
●
wp-includes/js/swfobject.js en este se añaden un código encriptado el cual carga un script malicioso que
redirige a la siguiente ruta: hxxp://soaksoak.ru/xteas/code (Esto es SoakSoak).
wp-includes/template-loader.php en este archivo se añade un código que hace que WordPress cargue
los archivos swobject.js infectados en cada página.
El virus SoakSoak también ha venido evolucionando, y a parte de los dos archivos mencionados en los párrafos
anteriores se modifica tambien el swfobjct.swf (creando múltiples puertas traseras en archivos RevSlider
vulnerables).
¿Tienes blog WordPress?
Si cuentas con un blog WordPress, se puede utilizar la firma de seguridad Securi que ha actualizado su
herramienta para comprobar páginas web con la última amenaza que afecta a WordPress. Es muy importante
que tengamos en cuenta que de igual manera debemos realizar una revisión a fondo de nuestro servidor,
mientras tanto se puede acceder al siguiente enlace para realizar una comprobación online en busca de
malware conocido, estado de listas negras, errores del sitio web y software desactualizados:
http://sitecheck.sucuri.net/
Fuente:
http://www.vozidea.com/vulnerabilidad-en-el-plugin-slider-revolution-para-wordpress
http://www.vozidea.com/nuevo-malware-soaksoak-infectando-wordpresshttp://blog.sucuri.net/2014/12/soaksoak-payload-analysisevolution-of-compromised-sites-ie-11.html
¿El malware SoakSoak infecta decenas de miles de WordPress?
Se está reportando que hay decenas
de miles de sitios WordPress
comprometidos por infección del
malware conocido como SoakSoak.
Muchos usuarios se están enterando
cuando los sistemas de detección de
Google no dejan acceder a sus sitios,
pero es un aviso para todos.
@vencert
VenCERT Oficial
Team VenCERT
http://www.vencert.gob.ve/
0800-VenCERT (8362378) - [email protected]