El plugin Custom Content Type Manager para WordPress posee una puerta trasera

Lo de los complementos del popular gestor de contenidos web comienza a ser algo bastante preocupante. Sí que es verdad que hemos hablado de muchos que eran propiedad de los ciberdelincuentes y que estaban diseñados para robar datos, pero en esta ocasión se trata de Custom Content Type Manager, sin lugar a dudas uno de los más utilizado por los usuarios de WordPress.

Los expertos de seguridad de la empresa Sucuri han sido los encargados en dar la luz de alarma cuando uno de los usuarios acudió a ellos debido a la existencia de un archivo tras una reciente actualización y que poseía el nombre auto-update.php. El plugin que nos ocupa es sin lugar a dudas uno de los más utilizados en la actualidad, ya que en muy poco tiempo consiguió más de 10.000 descargas desde el repositorio oficial del gestor de contenidos.

Hace dos semanas se publicó una actualización contra todo pronóstico, ya que llevaba más de seis meses abandonada y hace poco se había producido un cambio de dueño. Casualidades o no, este ha publicado una actualización para cambiar de versión el complemento.

Pero la realidad es que la finalidad de esta actualización no es legítima y el fichero que hemos mencionado con anterioridad permite la actualización del complemento y la descarga de otro software de forma autónoma y sin que el usuario sea consciente.

Custom Content Type Manager posee una puerta trasera
Además del citado con anterioridad, los expertos de Sucuri han detectado la presencia de otro archivo con el nombre CCTM_Communicator.php y que parece que posee como única función, con ayuda de otro plugin más antiguo, comunicar al servidor de que otro sitio web está infectado.

Lo más preocupante sin lugar a dudas es que el complemento interviene en el proceso de inicio de sesión de los usuarios y procede a la recopilación de las credenciales, enviándolos de forma segura a wordpresscore.com.

La versión 0.9.8.8 de este complemento es la que se encuentra afectada por estas modificaciones que juegan en contra de la finalidad que en un principio poseía la herramienta, instalándose de forma silenciosa sin informar al usuario de la finalidad real de esta nueva versión.

Desde la compañía de seguridad han detectado que el propietario del plugin ha intentado acceder a varios sitios web en los que se ha producido el robo de credenciales, fallando en varios de ellos, ya que el propietarios posee una URL modificada para iniciar sesión.

El ciberdelincuente cambia de estrategia ante estos problemas
Dado los problemas detectados, desde Sucuri han detectado que ha procedido a utilizar auto-update.php para hacer llegar el archivo c.php, otro archivo que crea wp-options.php cuya única finalidad es editar otros y así recuperar el acceso al sitio web o lo que es lo mismo, modificar la configuración realizada por el usuario.

Ver informacion original al repecto en Fuente:
http://www.redeszone.net/2016/03/06/el-plugin-custom-content-type-manager-para-wordpress-posee-una-puerta-trasera/#sthash.a29ipkyI.dpuf

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies