Se trata de un ataque DDoS basado en un error de seguridad del fichero wp-tracker.php por falta de comprobación de la variable recogida con $_POST[‘charset’].

Recibimos la noticia desde DaboBlog y tras leer la noticia original en Desvarios informaticos realizamos una serie de comprobaciones.

Si bien en muchos servidores el bug no puede realizarse debido a mecanismos auxiliares de seguridad, no deja de ser una puerta abierta a la realización de graciosas pruebas por parte de script kiddies.

La realidad, es que si el servidor tiene determinadas configuraciones muy comunes en muchos servidores de hosting compartido, el exploit es muy duro, y con unas pequeñas modificaciones al fichero demo para la ejecución del exploit, en menos de 30 segundos se puede dejar un servidor totalmente tumbado.

Lo peor, es que la gente de WordPress no ha contestado aun, y es por ello que el descubridor del error, lo ha hecho publico.

En nuestras pruebas hemos visto que afecta a versiones desde la actual hasta las primeras en la que se usa este trozo de código.

Solución

Editar el fichero wp-trackback.php

$charset = $_POST[‘charset’];

Cambiar por:

$charset = str_replace(“,”,””,$_POST[‘charset’]);
if(is_array($charset)) { exit; }

Demo exploit

No la publicamos. Ya es bastante que este en un sitio