La plataforma de blogging y gestión de contenidos WordPress es nuevamente víctima de una vulnerabilidad: esta vez, en el plugin MailPoet utilizado por desarrolladores para enviar newsletters y gestionar suscriptores. La falla básicamente le permite a un atacante subir cualquier archivo (malicioso) a los servidores vulnerables, lo que a su vez permitiría que el sitio afectado sea utilizado para inyecciones de malware, defacements y envío de spam sin que sea necesaria una autenticación.
Daniel Cid, investigador de seguridad y CTO de Sucuri, aseguró en el blog de la firma que la vulnerabilidad es seria y que, 3 semanas después de haber sido revelada, alrededor de 50 mil sitios fueron comprometidos remotamente para instalar backdoors que apuntan a MailPoet. Este plugin, antes conocido como Wysija, ha sido descargado 1.9 millones de veces.
Lo curioso de este caso es que algunos de esos sitios comprometidos no usan WordPress o ni siquiera tienen MailPoet habilitado: el malware puede infectar cualquier página web que esté alojada en el mismo servidor que un sitio con WordPress comprometido.
"Para ser claro, la vulnerabilidad de MailPoet es la puerta de entrada, no significa que tu sitio tiene que tenerlo habilitado o que lo tienes en tu sitio; si reside en el servidor, en un sitio vecino, puede afectar al tuyo", dice la publicación de Cid.
La compañía reportó esta falla inicialmente a principios de julio, pero en los últimos días se observó una explotación masiva de la misma. El backdoor que instala crea una cuenta de administrador que le da a los atacantes el control total, e inyecta código en todos los archivos de temas (themes). Además, sobreescribe archivos que luego son difíciles de recuperar si no existe un backup actualizado.
La única versión de MailPoet que no es vulnerable a esta falla es la última: 2.6.8, por lo cual se recomienda a todos los usuarios hacer la actualización correspondiente. Sobre todo si tenemos en cuenta que últimamente WordPress ha tenido varios problemas de seguridad, como aquellas vulnerabilidades en el plugin All in One SEO Pack y el Zero Day en el complemento TimThumb.
Créditos imagen: ©MailPoet/Captura de pantalla