Un nuevo estudio realizado por investigadores del Instituto de Tecnología de Georgia encontró complementos maliciosos instalados en alrededor de 25,000 sitios net de WordPress.
Los investigadores analizaron las copias de seguridad de más de 400 000 servidores net y encontraron 47 337 complementos maliciosos en 24 931 sitios únicos de WordPress utilizando una herramienta de desarrollo net llamada «YODA». Cada sitio net comprometido en su conjunto de datos tenía dos o más complementos infectados, y se encontró que el 94% de los complementos estaban activos.
La herramienta YODA también permitió a los investigadores rastrear el malware utilizado en los complementos de WordPress hasta su fuente, informó George Tech Faculty of Computing el 26 de agosto. con el malware inyectado en el sitio net al explotar una vulnerabilidad y, en la mayoría de los casos, infectar el sitio net de WordPress después de agregar el complemento a WordPress.
En algunos casos, se ha descubierto que los complementos maliciosos imitan los complementos benignos ofrecidos a través de mercados legítimos, a veces como una opción de prueba en sitios de complementos pagos.
También se descubrió que los complementos maliciosos atacan otros complementos en los servidores donde está instalado WordPress para propagar la infección. Las formas más comunes de explotación fueron infecciones de plug-in cruzado o infecciones mediante la explotación de vulnerabilidades existentes.
Los investigadores descubrieron que, si bien los complementos maliciosos pueden causar daño, los propietarios pueden tomar medidas como: B. eliminar los complementos maliciosos y reinstalar versiones libres de malware analizadas en busca de vulnerabilidades.
«Si una organización tiene que usar absolutamente WordPress, los complementos deben ser examinados minuciosamente por equipos de desarrollo y seguridad experimentados antes de implementarlos en un entorno de producción», dijo a SiliconANGLE Cory Cline, consultor senior de seguridad cibernética del proveedor de seguridad de aplicaciones nVisium LLC. «Esto se hace más fácil por el hecho de que los complementos de WordPress están escritos en PHP y su código fuente puede ser revisado por cualquiera que lo desee».
Cline agregó que el impacto de implementar un complemento de WordPress que no se ha verificado correctamente puede no existir si el complemento no es malicioso y no tiene vulnerabilidades conocidas. «Sin embargo, un complemento malicioso de WordPress podría conducir en última instancia a una toma de management completa de todas las instancias de WordPress afectadas», dijo.
Sounil Yu, director de seguridad de la información del proveedor de soluciones de gobierno y gestión de activos cibernéticos JupiterOne Inc., señaló que esto no es solo un problema con WordPress, sino con cualquier software program que use complementos, integraciones y aplicaciones de terceros o use PITA.
«Revisar los PITA es problemático porque hay miles de estos PITA sin un linaje claro, resultados de pruebas o diagramas de flujo de datos», explicó Yu. “Los equipos de seguridad tienen enfoques rudimentarios, la mayoría de los cuales solo echan un vistazo superficial. Al igual que las tiendas de aplicaciones administradas por Apple y Google, los mercados deben realizar más controles para garantizar que los PITA maliciosos no causen problemas a sus clientes”.
