Noticias y Nuevos Productos

Datos de interés sobre los ataques masivos a WordPress

Datos de interés sobre los ataques masivos a WordPress

Desde hace unos años la seguridad de los plugins de WordPress ha sido un tema de interés debido a la abundancia de vulnerabilidades de seguridad que se han  encontrado y publicado. Sólo en 2013 se han publicado al menos 64 vulnerabilidades diferentes, un gran número bajo cualquier estándar, según datos ofrecidos por Akamai.

Akamai Technologies ha utilizado su plataforma Cloud Security Intelligence para analizar los patrones de estos. Se trata de una plataforma de datos distribuidos a escala masiva, que almacena miles de millones de eventos de seguridad de miles de aplicaciones web en todo el planeta, lo que ha obtener una perspectiva de las tendencias de los ataques que ocurren en Internet.

Analizando los ataques dirigidos contra los plugins de WordPress en la base de clientes de Akamai en el periodo de una semana, según puede leerse en el blog de la compañía escrito por Ory Segal, se encontró que hubo unos 43.000 ataques específicamente dirigidos a los plugins de WordPress en ese tiempo, un total de 66 diferentes plugins de WordPress fueron los objetivos, de los cuales 8 recibieron la mayor cantidad de ataques; y el más atacado, con un 73% de los ataques fue el plugin TimThumb.

 
Si diseccionamos la información obtenida sobre la localización de los ataques a Timthumb durante este tiempo, se desprende que los responsables fueron 270 atacantes únicos,  el 70% de los ataques provenían de sólo 6 atacantes en Francia y el resto provenían principalmente de Italia, Estados Unidos, Alemania, Canadá y Brasil, en este orden. Además, un total de 318 aplicaciones web diferentes fueron objetivo de los ataques durante la semana de muestra. La URL utilizada dentro de la carga explosiva de la RFI apuntaba casi enteramente a webs que se parecían a sitios conocidos como Picasa, Flickr o YouTube por ejemplo.

Además, un análisis en profundidad de la mayoría del código PHP remoto utilizado por los hackers, revela que fue escrito por hackers indonesios, que penetraron y tomaron el control de servidores web legítimos en la web. Este código fue siempre codificado múltiples veces utilizando Base64, ROT13 y Gzip comprimido, probablemente para evitar la detección por anti-virus, WAF o anti-malware. Su propósito es el de instalar dos tipos principales de malware; o bien una página web PHP de ejecución de comando remoto, que permite a los hackers el control remoto de la máquina del servidor web, y les facilita el acceso a todos los archivos del sistema; o un software tipo botnet muy evolucionado con muchas capacidades, tales como mando y control remoto a través de IRC, propagación automática a otros servidores web utilizando vulnerabilidades similares, capacidades de volcado de datos de MySQL, etc.


Información reciente:

Spammers compran extensiones de Chrome para convertirlas en adware 

Samsung confirma retraso de su smartphone con Tizen 

Nuevos equipos de Acer 

Facebook llegaría a 2017 con menos de 300 millones de usuarios 

AMD reduce la velocidad de sus procesadores Opteron 6300

Más…

 

Deja un comentario

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>