Un grave fallo de seguridad ha encendido las alarmas en la comunidad de WordPress. El conocido plugin Gravity Forms, una herramienta premium utilizada por cerca de un millón de sitios web, incluyendo organizaciones de renombre como Nike, Google y Unicef, fue comprometido en un audaz ataque a su cadena de suministro. Los piratas informáticos lograron infectar los archivos de instalación disponibles en el sitio web oficial, introduciendo una "puerta trasera" que les permitía tomar el control de las páginas afectadas.

El incidente, que se desarrolló recientemente, afectó a quienes descargaron e instalaron manualmente el plugin, exponiendo una cantidad masiva de sitios a un riesgo significativo. Este tipo de ataque es particularmente peligroso porque la amenaza proviene de una fuente que se considera confiable: el propio desarrollador del software.

Así Operaron los Hackers: Un Ataque Silencioso

La voz de alarma la dio la empresa de seguridad especializada en WordPress, PatchStack. Sus analistas recibieron informes sobre un comportamiento sospechoso proveniente de plugins recién descargados del sitio de Gravity Forms. Una investigación inmediata confirmó las peores sospechas: los archivos de instalación habían sido manipulados.

Los atacantes habían modificado un archivo llamado common.php dentro del plugin. Este archivo alterado iniciaba una comunicación secreta con un servidor externo controlado por los hackers, alojado en un dominio sospechoso (gravityapi.org). Una vez establecido el contacto, el plugin infectado comenzaba a recopilar y filtrar una gran cantidad de datos del sitio web:

- La URL del sitio y la dirección de acceso al panel de administración.

- Información sobre el tema y otros plugins instalados.

- Versiones de PHP y WordPress en uso.

Básicamente, los hackers realizaban un completo escaneo de inteligencia sobre sus víctimas, preparándose para el siguiente paso de su plan.

La Puerta Trasera: Control Total a Distancia

Con la información recopilada, el servidor de los atacantes enviaba una segunda pieza de malware. Este nuevo código, ingeniosamente disfrazado como un archivo legítimo de WordPress llamado bookmark-canonical.php y ubicado en la carpeta wp-includes, era en realidad la puerta trasera.

Esta puerta trasera otorgaba a los atacantes la capacidad de ejecutar código de forma remota en el servidor del sitio web. En términos más sencillos, les daba las llaves del reino. Podían modificar publicaciones, robar información de los usuarios, insertar contenido malicioso o incluso eliminar el sitio por completo. Lo más preocupante, según reveló PatchStack, es que esta vulnerabilidad podía ser explotada por cualquier persona, sin necesidad de autenticarse con un usuario y contraseña.

Para asegurar su permanencia, el código malicioso realizaba dos acciones adicionales:

- Bloqueaba las actualizaciones: Impedía que el administrador del sitio pudiera actualizar el plugin a una versión limpia, manteniendo así la infección activa.

- Creaba un administrador fantasma: Añadía una nueva cuenta de administrador oculta, lo que les garantizaba a los atacantes un acceso persistente y total al sitio comprometido.

Respuesta del Desarrollador y Pasos a Seguir

RocketGenius, la compañía desarrolladora de Gravity Forms, emitió un comunicado confirmando la brecha de seguridad. Precisaron que el hackeo afectó únicamente a las versiones 2.9.11.1 y 2.9.12 que fueron descargadas manualmente desde su sitio web entre el 10 y el 11 de julio.

Es crucial destacar que el servicio de actualizaciones automáticas, que es el método que utiliza la gran mayoría de los usuarios para mantener sus plugins al día, no se vio comprometido. El ataque se centró específicamente en las instalaciones manuales y las realizadas a través de Composer durante ese breve lapso de tiempo.

Si administras un sitio web con WordPress y utilizas Gravity Forms, es vital que tomes acción inmediata. La recomendación principal es reinstalar el plugin utilizando una versión limpia y segura. También, se debe realizar un análisis profundo del sitio para detectar cualquier archivo sospechoso o cuentas de administrador que no reconozcas. RocketGenius ha proporcionado instrucciones en su web para ayudar a los usuarios a verificar si sus sitios fueron infectados.

Fuente: bleepingcomputer.com https://tecnologiageek.com/?p=89889