Hace un par de días en el blog de Symantec comentaron que habían detectado en pocas horas miles de sitios vulnerados y utilizados en campañas de spam farmacéutico. Si bien no llegaron a determinar exactamente qué vulnerabilidad se estaba explotando, todos los sitios tienen algo en común, utilizan versiones de WordPress desactualizadas.
Los atacantes crean una página .html que realiza una redirección automática hacia el sitio fraudulento, esto lo propagan por medio de correos spam enviados generalmente desde cuentas comprometidas o equipos infectados. Justamente hoy me llegó uno de esos mensajes, a simple vista se puede ver que es spam pero al venir de un contacto muchos le hacen clic y minutos después terminan comprando viagra barato en un sitio fraudulento:
Esta clase de correos falsos ya son clásicos, a tal punto que Hotmail agregó hace poco una nueva opción que permite informar que la cuenta de nuestro amigo se encuentra comprometida.
Con algunas búsquedas simples en Google también es posible encontrar muchos sitios comprometidos, por ejemplo en la siguiente captura se pueden ver los resultados que contienen las palabras «buy viagra» y una URL típica de wordpress:
Al pinchar en algunos de los resultados se pueden ver cosas como esta:
Este sitio en particular utiliza una versión desactualizada de WordPress, esto se puede saber fácilmente mirando el código fuente de la página. La versión más reciente de la plataforma es la 3.2.1:
El sitio también se puede infectar de muchas otras formas, plugins desactualizados, FTP comprometido, permisos mal configurados, etc, pero una versión vieja de WP siempre es buena candidata para recibir ataques.
Por eso siempre es importante mantener todo actualizado, ya sean blogs, foros o cualquier tipo de plataforma online. En definitiva son programas que están corriendo en un servidor y pueden presentar vulnerabilidades como cualquier otro.