MailPoet, el plugin para newsletters contiene una vulnerabilidad detectada a comienzos de julio por la empresa de seguridad Sucuri, que permite a hackers subir archivos de forma remota a un sitio, eludiendo el proceso de autenticación que requiere nombre de usuario y contraseña.
Los creadores de MailPoet reaccionaron con celeridad lanzando el mismo día una nueva versión del software. Sin embargo, al parecer la información sobre la versión parcheada no ha llegado a todos los usuarios, según escribe Sucuri.
Hasta la fecha, el plug-in ha sido descargado alrededor de 1,7 millones de veces. Los investigadores de Sucuri han confirmado que miles de sitios web de WordPress han sido atacados, y que hackers han aprovechado la vulnerabilidad MailPoet para inyectar software malicioso en los sitios.
El software malicioso se ha descubierto que numerosos archivos de WordPress corruptos, que generan notificaciones de errores en PHP que aparecen en los sitios afectados.
Sin embargo, el problema no sólo afecta a los sitios que utilizan la versión infectada de MailPoet, según Sucuri. “La vulnerabilidad MailPoet es el punto de entrada, que no significa que su sitio web tiene que tener habilitada la extensión, o en realidad siquiera tenerla instalada; si reside en el servidor, en un sitio web vecino, todavía puede afectar a su sitio web”, escribió Sucuri en su blog.
Esta capacidad de propagación lleva a Sucuri a recomendar la actualización inmediata de MailPoet.
El plugin MailPoet antes era conocido como Wysija Newsletter.
Los ataques se inician cuando el intruso de subir un tema personalizado para MailPoet malicioso al sitio vulnerable y a continuación toma el control total del sitio.
La puerta trasera inyectada crea un usuario con derechos de administración denominado 1001001 que borra de la base de datos de WordPress, y también inyecta código de puerta trasera en todos los archivos del sistema y de los temas, complicando la limpieza del sitio atacado, que pasa la mayoría de las veces por una reinstalación completa de todos los archivos para asegurarse.
Para solucionar el problema no alcanza con solo actualizar el plugin, porque se mantendría la puerta trasera que permite la infección masiva; es necesario borrar la carpeta del plugin y luego instalar la última versión 2.6.9.
Compartir nota:
