Los cibercriminales tienen en la mira una obsoleta herramienta de blogging japonesa

Los cibercriminales están atacando sitios web con fallas de administración con la intención de aprovecharlos para realizar actividades maliciosas. El daño a los sitios web en Japón ha aumentado desde el año pasado, lo que es alarmante para los usuarios de Internet japoneses. Kaspersky Lab Japón ha observado más de 2.800 sitios web comprometidos entre enero y marzo de 2014.

WordPress es una herramienta de blogging muy popular en todo el mundo, pero suele estar plagada de vulnerabilidades que permiten que un cibercriminal comprometa los sitios. Una herramienta similar japonesa, “Web Diary Professional” (WDP), tiene este mismo problema. WDP es muy usado en Japón gracias a su interfaz y manuales de uso en japonés. Pero ya ha dejado de recibir soporte y actualizaciones.

Anuncio oficial de WDP:

Se ha introducido una nueva herramienta como su sucesora, y los desarrolladores han recomendado a sus clientes que emigren a ella. A pesar de ello, una cantidad significativa de administradores de sitios web sigue empleando la herramienta WDP obsoleta, exponiendo sus sitios a las amenazas de cibercriminales.

Hice una búsqueda en Google con palabras clave que indicaran el posible uso de WDP, y encontramos alrededor de 500.000 sitios web (hasta abril de 2014). Por supuesto, no todos estos sitios web son vulnerables y puede que algunos de ellos estén duplicados. Sin embargo, al revisar los resultados (viendo los sitios web que aparecían al principio de los resultados de búsquedas), la mayoría utilizaba WDP y habían pocos duplicados.

Nuestra investigación indicó que casi el 80% de los sitios web que empleaban WDP tenía algún tipo de problema. En particular, que el archivo que contiene el hash de la contraseña para la verificación del usuario puede verse desde el exterior. Si la contraseña es simple, es muy fácil descifrarla con una herramienta especial.

Estos son algunos sitios web que tienen este problema:

El paquete WDP tiene un archivo con la información de la cuenta del usuario (cuenta del usuario, hash de la contraseña y permiso). El problema es: cualquiera puede ver este archivo de forma predeterminada.

Lista de URLs con las contraseñas del hash de administrador:

• ak*********ra.ne.jp : J1wmEoM.bkL**
• ho********el.co.jp : M8E16gZ2Ewb**
• ku***********ou.com : I17D74cikmT**
• sp******ft.co.jp/sh************bu/blog/ : aS1WTP.kHtM2**
• ts*******mi.net : N5S6jTCx/jm**
• www.by***in.or.jp : M5KnJS9KBGr**
• www.ed*************ma.jp : L9axf8TE5Vz**
• www.su*****rt.co.jp : X4YGGUaW3gz**
• www.ta*****ai.or.jp : J7EnglocxcP**
• www.te****46.com : B3bgZ6bilnO**

Con una herramienta para descifrar contraseñas, se puede descifrar una contraseña simple en muy poco tiempo.

Para que puedas ver lo fácil que es, echa un vistazo a un ejemplo de hash producido en un ambiente de pruebas:

El resultado de la herramienta para descifrar contraseñas muestra:

Un atacante podría conseguir permisos de administrador de esta manera.

Al intentar descifrar la lista de hashes de contraseñas con la herramienta se logró descifrar el 26% en poco tiempo (3 horas).

• 1234 (www.so*****ma.org)
• 1234 (www.cl******ir.com)
• 6636 (ts*******mi.net)
• 0123 (www.uc*****or.com)
• 0123 (www.yo*********ai.jp)
• mayu (gc**************rq.or.jp)
• 12345 (www.pa***********te.com)
• 1122go (www.os*******se.com)
• n24w17 (www.se****-h.com)
• kurosaki (ku***********ou.com)

Cuando el atacante consigue la contraseña del administrador puede editar el sitio web como le plazca. De hecho, encontré varios sitios web que se estaban manipulando. Estos sitios tenían herramientas para enviar spam, archivos que mostraban mensajes de atacantes, herramientas DDoS, puertas traseras, etc. Se puede asumir que estos sitios han sido afectados por alguien que tenía malas intenciones.

Ejemplo de un sitio alterado:

El mensaje de un atacante:

Herramienta de ataques DDoS:

Shell de Puerta trasera de un sitio web:

El peor caso que hemos visto fue el de un ejemplar de un servicio en la nube. Parecía que cientos de sitios web estaban alojados y operando en un solo servidor con este servicio, y uno de los sitios tenía instalada una puerta trasera. Esta puerta trasera permite que un atacante manipule otros sitios web limpios en el mismo servidor, tal vez para alterarlos o robarles información importante.

Repito que WDP ha dejado de recibir apoyo y actualizaciones, y el desarrollador ha recomendado a sus usuarios que emigren a la nueva herramienta. El desarrollador tuvo la gentileza de introducir un método para mejorar la seguridad de aquellos que tienen alguna razón para seguir usando WDP. Si eres uno de los que sigue utilizando el WDP obsoleto en tu sitio web o servicio, debes tomar medidas lo antes posible para no ser víctima o culpable involuntario.

Los productos Kaspersky Lab detectan el paquete de herramientas maliciosas (puertas traseras, etc.) que se descubrió en esta investigación como:

• Backdoor.PHP.PhpShell.*
• Trojan-Spy.PHP.PhPen.*
• Backdoor.PHP.C99Shell.*