Abusan Vulnerabilidad en una versión antigua del plugin Duplicator

Hemos recibido avisos de un alto número de páginas donde los atacantes están deshabilitando los sitios de WordPress  eliminando o reescribiendo el archivo wp-config.php.

Todos estos casos tiene algo en común, el  El Plugin Duplicator para WordPress.

Las versiones anteriores a la 1.2.42 del plugin Duplicator son vulnerables a ataques de Ejecución Arbitraria de Código (RCE), que significa que el visitante malicioso puede ejecutar código arbitrario en el sitio web vulnerable. Desde Synacktiv.com se ha difundido más información sobre esta vulnerabilidad.

Existe también una vulnerabilidad en el plugin Duplicator (versiones hasta la 1.2.30), como se describe cvedetails.com.

¿Que impacto ha tenido en el mundo?

Con 1 millón de instalaciones activas y un reporte de más de 10 millones de descargas, no todos los usuarios de Duplicator están en riesgo con esta vulnerabilidad, y se deben cumplir las siguientes condiciones:

• El archivo installer.php se tuvo que generar por el plugin Duplicator.
• El archivo installer.php debe estar en el directorio raíz del sitio.
• La versión de installer debe ser anterior a la 1.2.42.

Han sido notificadas dos vulnerabilidades, una en 2017 que fue corregida, aunque aun existen y pueden ser encontradas viejas versiones del archivo installer.php en el directorio raíz de los sitios web WordPress. Otra vulnerabilidad fue corregida recientemente, en concreto en agosto de 2018.

Si has utilizado este plugin, te recomendamos sea eliminado inmediatamente. Además te damos un buen consejo para que tu archivo wp-config.php no pueda ser alterado, debes cambiarlo a solo lectura con permisos 444.

Si has sido atacado por esta vulnerabilidad y tu página WordPress te indica que sea instalado como si fuera un nuevo sitio, debes reponer nuevamente en tu fichero de configuración las credenciales de conexión a la base de datos.

Somos expertos en resolver hackeos a páginas web, si es tu caso consulta aquí nuestro servicio.