¿Por qué el plugin RevSlider fue culpable del 10% de las intrusiones en portales basados en WordPress en el 2016?

Según la reconocida empresa consultora de Internet Sucuri, en el 2016, cerca del 10% de los ataques exitosos a nivel mundial contra aplicaciones web basadas en WordPress fueron provocados por la presencia en ellos del plugin RevSlider. Esta es una cifra importante para un plugin, sobre todo, si tenemos en cuenta que las vulnerabilidades explotadas fueron publicadas y alertadas desde el 2014 por la misma Sucuri. En ese mes se produjo una campaña masiva de infección de más de 100 mil aplicaciones web basadas en WordPress, usando precisamente vulnerabilidades presentes en RevSlider.

Dos años después se siguen comprometiendo aplicaciones a causa de este plugin. Por eso siempre es importante mantenerse actualizado con los boletines de seguridad correspondientes y aplicar los parches necesarios, no solo en la tecnología base sino también en plugin y temas.

Para un ciberatacante la explotación de este vector de ataque es extremadamente simple, te explico:

Fase de Reconocimiento

En esta fase se producen peticiones tratando de buscar la existencia del plugin RevSlider en nuestra aplicación basada en WordPress. RevSlider puede encontrarse en diferentes rutas y por ello los atacantes exploran la mayoría de las posibilidades lógicas, las rutas pueden ser:

  • /wp-content/themes/ [ … ] /revslider/temp/update_extract/ revslider /
  • /wp-content/plugins/ [ … ] / revslider /temp/update_extract/
  • /wp-content/plugins/ [ … ] / revslider /temp/update_extract/revslider /
  • //wp-content/plugins/ revslider /
  • /wp-content/plugins/meteor-extras/includes/bundles/revslider /temp/update_extract/
  • /wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php
  • /revslider.php

Los corchetes de las rutas del uno al tres significan que en esas posiciones existen variaciones, por ejemplo, el nombre de los temas solicitados. Al final de cada ruta van los recursos solicitados, solamente en el caso de las dos últimas rutas no se adicionan recursos porque ya están especificados.

Los recursos solicitados bajos estas rutas son muy diversos y pueden sobrepasar ampliamente el centenar de nombres. Pueden consultarlo en el Anexo 1.

En el caso de los Temas buscados también puede encontrarse en el orden de las decenas. En el Anexo 2, al final de este artículo, dejo una lista de los principales temas buscados por los ciberdelincuentes en el 2016. Si tu aplicación web utiliza alguno de ellos, te recomiendo encarecidamente que lo actualices y que investigues si RevSlider se actualizó también.

¿Cómo saber si tu aplicación Web basada en WordPress tiene el plugin RevSlider? Es muy sencillo, solo tienes que usar la herramienta WPScan y ejecutar un escaneo de plugins con la opción:

wpscan –enumerate ap

Te alerto que esto va a generar una carga considerable para el servidor web, por tanto te recomiendo leer la entrada sobre WPScan primero, antes de ejecutar el escaneo.

Fase de explotación

En este punto, el ciberdelincuente pasará a explotar las vulnerabilidades presentes en RevSlider.

Un primer mecanismo de explotación consiste en la posibilidad de descargar archivos arbitrariamente del servidor web, por ejemplo, el archivo wp-config.php con datos sensibles de administración:

Esta información se utilizaría, por ejemplo, para comprometer la base de datos de la aplicación web.

Otro vector de ataque consistiría en la inclusión y modificación de archivos en el servidor a través de rutas como

Esto se realizaría mediante una petición HTTP POST y en el cuerpo viajarían las instrucciones correspondientes.

Como puede apreciarse, es bastante simple para un ciberatacante explotar estas vulnerabilidades.

Solución

Indudablemente la actualización del plugin RevSlider es el primer paso para eliminar esta vulnerabilidad. No obstante, la mayor dificultad se encuentra cuando este plugin está incluido dentro del Tema que se esté utilizando. En este caso sería necesario actualizar el Tema y de este modo se actualizaría también RevSlider. Después que realices estos pasos te recomiendo realizar un escaneo de tu aplicación web con WPScan para revisar que todos los componentes estén actualizados con versiones sin vulnerabilidades conocidas.

Espero que te haya sido útil este artículo y contribuya a mejorar la seguridad de tus aplicaciones Web.

S4lud0s y h4st4 el próx1m0 p0st!!!

Anexo 1. Nombres de recursos solicitados

.cok.php .ini.php .libs.php
07422410.php 1803137.php 2124328.php
2330460.php 26rd4n2h.php 2x.php
32589768.php 38224408.php 38718484.php
404.php 44756182.php 49835530.php
5044564.php 5044564.php 5063589.php
51899346.php 60206866.php 62820663.php
64345430.php 6457696.php 66782684.php
6755427.php 8798792.php 9183661.php
9356144.php 99695544.php admin.js
annvicky.php arhy.php baru.php
BirdsRio.php bom.php budak.php
cache.php cinta.php configbacks.php
cp.php create.php crot.php
ctrl.php cx.php db.php
demit.php error.php fput.php
fullmagic.php gelo.php index.php
indra.php info.php ini.php
itil.php joss.php joss.php.gif
joss.phtml KhnLox.php lahore.php
log.php login.php logs.php
loop.php love.php manz.php
Materialnlns.php me.php meshe.php
mil.php mild.php milo.php
myluph myluph.php NULLpOint7r__ahzbx.php
NULLpOint7r__arwcl.php NULLpOint7r__bchva.php NULLpOint7r__bhirz.php
NULLpOint7r__btyfc.php NULLpOint7r__bzlot.php NULLpOint7r__coxgm.php
NULLpOint7r__cslab.php NULLpOint7r__dnubq.php NULLpOint7r__dqpoc.php
NULLpOint7r__dxtfr.php NULLpOint7r__efzlw.php NULLpOint7r__ervjc.php
NULLpOint7r__eskom.php NULLpOint7r__fezwh.php NULLpOint7r__fiytz.php
NULLpOint7r__gepiv.php NULLpOint7r__gsmbo.php NULLpOint7r__hwrfl.php
NULLpOint7r__icarq.php NULLpOint7r__ilysw.php NULLpOint7r__iofgj.php
NULLpOint7r__jhbtp.php NULLpOint7r__jhwtl.php NULLpOint7r__kdmfh.php
NULLpOint7r__kzyhj.php NULLpOint7r__lqugi.php NULLpOint7r__lrshk.php
NULLpOint7r__ltove.php NULLpOint7r__mizsk.php NULLpOint7r__mygzf.php
NULLpOint7r__nalyp.php NULLpOint7r__nelpy.php NULLpOint7r__nsxte.php
NULLpOint7r__nuskm.php NULLpOint7r__pcslr.php NULLpOint7r__pdyua.php
NULLpOint7r__pfegr.php NULLpOint7r__pmoty.php NULLpOint7r__qbujw.php
NULLpOint7r__qplfb.php NULLpOint7r__rhcsv.php NULLpOint7r__rmfko.php
NULLpOint7r__rqfyl.php NULLpOint7r__rwomd.php NULLpOint7r__rwuxz.php
NULLpOint7r__rzwod.php NULLpOint7r__toimp.php NULLpOint7r__tqxir.php
NULLpOint7r__ufxdh.php NULLpOint7r__vcuhp.php NULLpOint7r__vznfx.php
NULLpOint7r__wdeqh.php NULLpOint7r__wpscd.php NULLpOint7r__wztad.php
NULLpOint7r__xmulz.php NULLpOint7r__ybxai.php options-link.php
parser.php pbot.php petx.php
php4 polahi.php readme.php
recky.php RevSlider.php RevSlider.zip
RevSlider_show_image robot.php samplc.php
samrex.php shell.php shunceng.php
simple.php simple.phtml sitemap.php
SocketIasrgasfontrol.php SocketIontrol.php sql_dump.php
t004zf0f.php thumbnail.php tips.css
tipsy.css unix.php up.php
uRLs.php ushell.php version.php
votre.php wp-cache.php wpfoot.php
wp-id.php wp-revs.php wp-tinymce.php
xcamfrog.php xxx.php yena.php
yerkeskay.php

Anexo 2. Temas más atacados

apollo Avada beach_apollo
centum coffeeandcream cuckoobizz
cuckootap designplus edwards-theme
incrediblewp liofolio medicate
nevada OneMozilla paragon
pindol RoyalOak schema-corporate
shoestrap stendhal striking_r
templates t-ffxmania ultimatum
Anuncios

3 comentarios en “¿Por qué el plugin RevSlider fue culpable del 10% de las intrusiones en portales basados en WordPress en el 2016?

  1. Pingback: ¿Qué es lo nuevo en el OWASP Top 10 2017 R1? | Behique Digital

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s