• TECNOVAN LATAM es ciberseguridad en Latinoamérica.
Linkedin X-twitter Facebook Youtube

Informe de vulnerabilidad de WordPress, edición especial – 6 de septiembre de 2022: BackupBuddy

Recientemente descubrimos una vulnerabilidad de seguridad en nuestro BackupBuddy . La vulnerabilidad podría permitir una violación de su sitio de WordPress, por lo que solicitamos a todos los clientes que confirmen que sus sitios ejecutan la versión 8.7.5 o superior del complemento BackupBuddy.

La vulnerabilidad ha sido parcheada, por lo que deberías actualizar a la versión 8.7.5. 

A quién afecta esta vulnerabilidad 

Esta vulnerabilidad solo afecta a los sitios que ejecutan las versiones 8.5.8.0 a 8.7.4.1 de BackupBuddy. 

Tenemos indicios de que esta vulnerabilidad se está explotando activamente en la naturaleza. Recibimos una notificación de actividad sospechosa relacionada con una instalación de BackupBuddy el 2 de septiembre de 2022. Las primeras vulnerabilidades que hemos descubierto parecen haber comenzado el 27 de agosto de 2022. 

  • Una vez que identificamos el exploit, en breve lanzamos un parche para resolver el exploit en la versión 8.7.5 de BackupBuddy. 
  • Hemos hecho que esta actualización de seguridad esté disponible para todas las versiones vulnerables de BackupBuddy (8.5.8 – 8.7.4.1), independientemente de su estado actual de licencia de BackupBuddy, para que nadie continúe ejecutando una versión vulnerable del complemento BackupBuddy. 
  • También impulsamos las actualizaciones automáticas para todos los usuarios de iThemes Sync que tienen instalado BackupBuddy. 

¿A qué información pueden acceder los hackers? 

Esta vulnerabilidad podría permitir que un atacante vea el contenido de cualquier archivo en su servidor que pueda ser leído por su instalación de WordPress. Esto podría incluir el WordPress wp-config.phparchivo y, dependiendo de la configuración de su servidor, archivos confidenciales como /etc/passwd

Indicadores de compromiso 

Para detectar si su sitio fue atacado, busque los siguientes indicadores de compromiso. Busque en los registros de acceso de su servidor cualquier texto que contenga local-destination-id/etc/passwdwp-config.phpcon una respuesta HTTP 2xx. (Si necesita ayuda con esto, comuníquese con nuestro equipo de soporte creando un ticket de soporte en la ayuda de iThemes ). 

Lo que debe hacer: próximos pasos recomendados 

1. Actualice BackupBuddy a la versión 8.7.5 inmediatamente. 

Actualice a BackupBuddy 8.7.5. inmediatamente para arreglar este exploit. Incluso si no está ejecutando una de las versiones vulnerables de BackupBuddy, le recomendamos que actualice a BackupBuddy 8.7.5 como práctica recomendada para ejecutar las últimas versiones de todos sus complementos y temas. 

¿Está ejecutando BackupBuddy en varios sitios de WordPress? Use iThemes Sync para actualizar rápidamente todos sus sitios a BackupBuddy 8.7.5. 

2. Siga los pasos de la sección anterior para buscar un compromiso. 

Si ha determinado que su sitio puede haber sido comprometido, le recomendamos realizar los siguientes pasos. 

  1. Restablezca la contraseña de su base de datos. Es posible que deba comunicarse con su proveedor de alojamiento para que lo ayude con esto. 
  2. Cambia tus sales de WordPress. iThemes Security puede hacer esto por usted automáticamente a través de Herramientas> Cambiar sales de WordPress. Puedes actualizarlos manualmente siguiendo nuestra guía sobre cómo cambiar tus salts y claves de WordPress 
  3. Rota otros secretos en wp-config.php . Es posible que haya almacenado claves API para servicios como Amazon S3 en su wp-config.phpexpediente. Si es así, estos deben restablecerse y actualizarse. 

Si su servidor tiene una instalación de phpMyAdmin expuesta, o su servidor de WordPress se conecta a un servidor de base de datos de acceso público, le recomendamos restaurar una copia de seguridad de una fecha anterior al primer intento de acceso registrado. Si esto no es posible, contrate un servicio de reparación de piratería para que lo ayude a limpiar manualmente su sitio web de WordPress. Como mínimo, debe buscar y eliminar cualquier usuario administrador sospechoso en su sitio web y restablecer las contraseñas de todos los demás usuarios administradores. 

Si administra su propio servidor 

  1. Considere rotar las contraseñas de SSH para todos los usuarios. Un atacante podría aplicar fuerza bruta a la contraseña cifrada en el archivo y posiblemente continuar obteniendo más acceso no autorizado a su servidor. 
  2. Considere actualizar las claves SSH de su usuario web. Un atacante podría leer el archivo de la clave SSH privada y los hosts conocidos asociados a los que el usuario web podría haber accedido anteriormente.

Fuente: https://ithemes.com/blog/wordpress-vulnerability-report-special-edition-september-6-2022-backupbuddy/

Leave a Comment


El periodo de verificación de reCAPTCHA ha caducado. Por favor, recarga la página.