Zero Day en WordPress

Zero Day en WordPress

Zero Day en WordPress.

Quizá has visto este término escrito como O-Day o, Zero Day o, Día Cero; en cualquier caso podemos resumir su interpretación como: «Un grave problema de seguridad o vulnerabilidad en un programa o aplicación para el que en ese momento, no existe una solución, parche o actualización».

Lo cierto es que cerca del 80% de ataques a gran escala que se producen son debido a un Zero-Day en dispositivos hardware o software.

Cuando las vulnerabilidades son nuevas o desconocidas por las distintas soluciones que los detectan, se denominan ataques Zero-Day. En consecuencia, a estas se las conoce como vulnerabilidades de día cero.

¿Por qué ocurren ataques Zero-Day?

Para un atacante (cuidado con confundir con un «Hacker»), descubrir una vulnerabilidad día cero y atacar en base a ello tiene sus ventajas.

El tiempo de respuesta y recuperación después de haberse detectado el ataque puede ser muy alto y, pasar días hasta que el fabricante o la comunidad lance un parche que solucione el problema.

Esto ocurre porque se debe saber: acerca de qué trata el ataque, por qué se dio, cuál es la causa raíz y qué hacer para poder solucionarlo, así como tener en cuenta el tiempo que se tarda desde que se lanza el parche hasta que todos los usuarios afectados lo instalan, ya que no es instantáneo.

¿Qué puedo hacer para evitarlo?

Obviamente, lo importante es proteger tu dispositivo y, parar eso, lo más importante es el sentido común, el solo hecho de instalar un antivirus, anti-malware o una completa solución de seguridad no es suficiente.

Una medida importante a aplicar es mantener actualizado el software que utilizas. Tanto el sistema operativo como los distintos programas. Estos se actualizan porque incluyen parches de seguridad ante vulnerabilidades y ataques de día cero que han sido descubiertos.

La falta de actualización es quizá el vector de ataque más importante.

Zero Day en WordPress.

Vías de ataque

Los que se dedican al malware son capaces de aprovecharse de estas vulnerabilidades mediante diferentes vías de ataque. Por ejemplo, códigos en webs que revelan vulnerabilidades en navegadores. Los navegadores son un objetivo especial debido a su amplia distribución y uso.

Otra forma de aprovechar estos fallos es utilizar aplicaciones que abren ciertos documentos que revelan los fallos. Los exploits que pueden mejorar el software se revelan en bases de datos como US-CERT.

Zero Day en WordPress

Como he dicho en muchas ocasiones, WordPress no es distinta de otras aplicaciones informáticas y, por tanto sufre de este tipo de ataques, independientemente del servidor donde esté alojada.

Las vulnerabilidades de día cero se producen no sólo en el core de WordPress, sino también en sus añadidos, los plugins y los Temas.

Recientemente se ha descubierto una vulnerabilidad del tipo Zero-Day que pertenece a un plugin, pero que afecta al conjunto del sitio en donde se usa el plugin afectado.

¿De qué se trata esta vez?

El plugin afectado y que nos interesa en esta ocasión, es «Fancy Product Designer que crea complementos de seguridad de Wordfence para el CMS.

Se ha observado que los atacantes utilizan el día cero para enviar malware a los sitios con el plugin instalado.

Existe evidencia que indica que la laguna de seguridad, que se puede utilizar indebidamente para ganar control total del sitio web, se aprovechó ya el 30 de enero de 2021.

El plugin permite a los usuarios personalizar cualquier tipo de producto, desde prendas de vestir hasta accesorios y artículos para el hogar, cargando sus propias imágenes o archivos PDF.

Es utilizado por una variedad de plataformas, incluidas WordPress, WooCommerce y Shopify.

Según Ram Gall, ingeniero de control de calidad de Wordfence, «Desafortunadamente, aunque el complemento tenía algunas comprobaciones para evitar que se cargaran archivos maliciosos, estas comprobaciones eran insuficientes y se podían omitir fácilmente, lo que permitía a los atacantes cargar archivos PHP ejecutables en cualquier sitio con el plugin instalado. Esto hizo posible que cualquier atacante lograra la ejecución remota de código en un sitio afectado, lo que permitió la toma de control total del sitio».

Según el análisis de Defiant, la mayoría de los ataques parecen provenir de tres direcciones IP específicas. Los atacantes están apuntando a sitios web de comercio electrónico con el objetivo de obtener información sobre pedidos de las bases de datos del proveedor.

Los datos que podrían extraerse de estos pedidos pueden incluir información de identificación personal de los clientes. Esto podría significar problemas para los operadores de sitios web, ya que los pone en riesgo de violar las reglas de cumplimiento de PCI-DSS1.

Según la Guía de cumplimiento de PCI, las sanciones por incumplimiento pueden oscilar entre USD $5.000 y USD $100.000 por mes por infracciones.

Zero Day en WordPress.

En ese sentido, también vale la pena mencionar que si el sitio web maneja los datos de ciudadanos de la UE y su información está expuesta, las empresas entrarían en conflicto con el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, que también podría acarrear fuertes multas.

Según el informe, si un ataque tiene éxito, aparecerán varios archivos en la carpeta wp-admin o wp-content/plugins, con una carga útil inicial entregada que luego se utiliza para recuperar malware adicional de otro sitio web.

El equipo de Wordfence notificó al desarrollador del complemento sobre la vulnerabilidad el 31 de mayo y recibió una respuesta en 24 horas. El 2 de junio se lanzó una versión parcheada, Fancy Product Designer 4.6.9.

Se recomienda a los administradores de los sitios web que usan ese plugin que lo parcheen de inmediato, ya que en alguna configuración específica, la vulnerabilidad podría explotarse incluso si el complemento en sí está desactivado.

Conclusión

Los ciberataques y el ciber-terrorismo son dos temas de moda, pero más allá de su «novedad», la seguridad en WordPress es algo que no se debe pasar por alto.

Mantenerse al día en temas importantes es labor de cualquier administrador de sistemas y, muchas veces es algo que sobrepasa las capacidades y conocimientos de un diletante.

Mientras tanto, recuerda, #UsaMascarilla, #LavateLasManos, juega, experimenta y, sobre todo, ¡divertirte!


Canales de Telegram: Canal SoloWordpressCanal SoloLinux 


¡Espero que este articulo te sea de utilidad, puedes ayudarnos a mantener el servidor con una donación en PayPal, o también colaborar con el simple gesto de compartir nuestros artículos en tu sitio web, blog, foro o redes sociales!

¡Tus comentarios y preguntas nos ayudan a mejorar, por favor comenta!

 

Chat de SoloWordpress


  1. Estándar de seguridad de datos de la industria de tarjetas de pago 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

logo solowordpress mails

Suscríbete a SoloWordpress

Recibe todos los nuevos artículos es tu correo electrónico

¡Te has suscrito correctamente!

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos y para mostrarte publicidad relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación. Al hacer clic en el botón Aceptar, aceptas el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Ver nuestra Política de Cookies
Privacidad
Ir al contenido