Peligro en WordPress y Joomla

El Sans Institute asegura haber recibido informes de múltiples intentos de exploit en las plataformas de publicación WordPress y Joomla después de lo cual a los sites comprometidos se les inyectó código que redirigía a sus visitantes a otras páginas web.

Para los expertos los ataques están siendo particularmente interesantes por el método utilizado de intentar explotar páginas web en masa atacando los propios servidores.

John Bambenek, uno de los expertos, explica en un post que lo interesante del caso es que no parece ser un escáner que está explotando una vulnerabilidad, sino una herramienta que básicamente “dispara un racimo de exploits de Joomla y WordPress en un servidor y espera que alguno funcione”.

Sans Institute asegura que los sites comprometidos son utilizados para redireccionar a los usuarios a un site en el que se intenta infectar a los usuarios con un paquete de antivirus falso. Este tipo de acciones a menudo se utilizan para engañar a los usuarios para que paguen cuotas de suscripción y otros costes que son falsos.

Se pide a los administradores y webmaster que actualicen su software con el fin de evitar las infecciones.

Joomla, que a finales de noviembre de este año alcanzó los 36 millones de descargas, es un sistemas de de gestión de contenido gratuito y de código abierto con el que puede publicarse contenido en Internet.

El ataque contra WorlPress es el segundo conocido durante este año. El primero se produjo en enero. Fue la empresa de seguridad M86 Labs quien descubrió el kit Phoenix, utilizado para explotar un fallo en la plataforma WordPress 3.2.1. La compañía estimó en aquel momento que cientos de sites habían sido infectados por el ataque.

Diseñado como un kit automatizado para infectar sistemas, Phoenix permitía a los distribuidores de malware embeber código en las páginas web vulnerables de manera automática. Después intentaban colocar un troyano en todo aquel sistema que intentara acceder a la página web infectada.