Un ataque masivo a finales de mayo, tuvo como objetivo las credenciales de la base de datos de unos 1,3 millones de sitios de WordPress.
Según una reciente entrada en el blog de Wordfence, la ofensiva tuvo lugar entre el 29 y el 31 de mayo y fue detenido por el Wordfence Firewall, que bloqueó más de 130 millones de ataques.
Ram Gall, ingeniero de control de calidad y analista de amenazas de Wordfence, dijo que los ataques de esta campaña representaron el 75 por ciento de todos los intentos de explotación de vulnerabilidades de plugins y temas en todo el ecosistema de WordPress.
“Lo que encontramos es que la gran mayoría de los ataques son sobre plugins y temas de sitios web obsoletos”, dijo Gall. “Típicamente lo que hemos visto en estos casos es que los atacantes obtienen acceso a las bases de datos del sitio web a través de los plugins obsoletos. Luego pueden redirigir a los visitantes del sitio a sitios de publicidad maliciosa, que pueden ser sitios para adultos, juegos o apuestas en línea, o incluso productos farmacéuticos u otros artículos de consumo”.
Gall señaló que Wordfence no conoce la motivación completa de los atacantes en este caso. Sin embargo, dijo que al redirigir a los visitantes del sitio a sitios de publicidad maliciosa, los atacantes podrían ganar económicamente, sobre todo al recibir una cuota de los sitios maliciosos por el acceso a los visitantes desprevenidos del sitio.
Bryan Murphy, director de servicios de consultoría de CyberArk, añadió que al ir tras las credenciales de la base de datos, los atacantes pueden entrar en todo lo almacenado en el sitio y hacer lo que quieran, incluyendo robar los datos o simplemente borrarlos.
Murphy indicó que demasiadas organizaciones cometen el error de usar cuentas con privilegios excesivos y con acceso administrativo total para conectar sitios web a las bases de datos. Dice que necesitan reducir los privilegios, concediendo sólo la capacidad de “leer” o “escribir” datos sólo a una ubicación específica en la base de datos.
“Así que si alguien entra en el sitio buscando robar información, debería ser capaz de introducir búsquedas e interactuar, pero no puede manipular si hay buenos controles de validación de entrada o sin privilegios de escritura/administrativos”, dijo Murphy. “Y al sólo permitir el acceso de escritura a tablas específicas en la base de datos con validación de entrada, el delincuente no puede tener acceso completo a todos los datos”.
Con información de: SC Magazine.