Me gustaría compartir una notica que se ha publicado recientemente en PC Magazine y creo que puede ser de vuestro interés.
Teniendo en cuenta que actualmente WordPress tiene más de 70 millones de sitios web en todo el mundo, está claro que es un objetivo atractivo para delincuentes cibernéticos. Y frecuentemente encontramos que hackers seleccionan instalaciones de WordPress vulnerables para alojar páginas de spam y otros contenidos maliciosos.
A continuación os comento la serie de vulnerabilidades graves que se han encontrado durante las últimas semanas en 5 plugins populares de WordPress. Os recomiendo que comprobéis en vuestro escritorio de WordPress si tenéis estos plugins y os aseguréis de que tenéis las últimas versiones instaladas.
1. MailPoet v2.6.7.
En la empresa de seguridad Web Sucuri encontraron en MailPoet un defecto de carga de archivos remoto. Este plug-in permite a los usuarios de WordPress crear boletines, correos de notificaciones, y crear respuestas automáticas. Anteriormente conocido como wysija , el plugin ha sido descargado más de 1,7 millones de veces. Los desarrolladores han parcheado el defecto en la versión 2.6.7. Pero las versiones anteriores son vulnerables.
Daniel Cid, director de tecnología de Sucuri, dijo recientemente en un blog que el fallo encontrado debe tomarse en serio, ya que da al potencial intruso el poder para hacer lo que quiera en la página web de su víctima. Permite que se pueda cargar cualquier archivo PHP. Esto puede permitir a un atacante utilizar vuestro sitio web para enviar cualquier información, SPAM, alojar malware e infectar a otros clientes (en un servidor compartido) y así sucesivamente.
Sucuri comentó que la vulnerabilidad asumía que cualquier persona que hacía la llamada específica para subir el archivo era un administrador, sin llegar a verificar si el usuario se había autenticado. Según Cid es fácil cometer este error.
2. TimThumb v2.8.14
La semana pasada, también se dieron a conocer detalles de una vulnerabilidad grave en TimThumb v2.8.13, un plugin que permite a los usuarios cortar, hacer zoom y cambiar el tamaño de las imágenes automáticamente. El desarrollador detrás de TimThumb, Ben Gillbanks, corrigió el defecto en la versión 2.8.14, que ya está disponible en Google Code.
La vulnerabilidad fue en la función WebShot que permitía a atacantes (sin autenticación) eliminar de forma remota páginas y modificar el contenido mediante la inserción de código malicioso en sitios vulnerables, de acuerdo con un análisis realizado por Sucuri. WebShot permite a los usuarios coger páginas Web remotas y las convierte en imágenes.
Según Cid, con un simple comando, un atacante puede crear, eliminar y modificar los archivos en el servidor. Aunque WebShot no está activado por defecto, la mayoría de los usuarios de TimThumb no deberían verse afectados. Sin embargo, el riesgo de ataques de ejecución remota de código se mantiene debido a temas de WordPress, plugins y otros componentes de terceros que usan TimThumb. De hecho, Pichaya Morimoto, que reveló el fallo, dijo que WordThumb 1.07, el plugin WordPress Gallery y el widget IGIT Post Slider posiblemente eran vulnerables, así como los temas del sitio themify.me.
Sucuri recomienda que si tenéis activado WebShot, deberíais abrir el tema o el archivo timthumb del plugin y configurar el valor de WEBSHOT_ENABLED a false y así desactivarlo.
De hecho, si todavía usáis TimThumb, es el momento de que vayas considerando el llevar a cabo su eliminación gradual. Un análisis reciente que llevó a cabo Incapsula encontró que el 58 por ciento de todos los ataques de inclusión de archivos remotos contra sitios de WordPress estaban relacionados con TimThumb. Gillbanks, el creador de TimThumb, no lo ha mantenido desde 2011, cuando WordPress incluyó sus funcionalidades.
3. All in One SEO Pack v2.1.6
A principios de junio, en Sucuri revelaron una vulnerabilidad de All in One SEO Pack que permite la escalada de privilegios. El plugin ayuda a optimizar el SEO de sitios de WordPress, y la vulnerabilidad podría permitir a los usuarios modificar los títulos, descripciones y metatags sin tener privilegios de administrador. Y no sólo eso, sino que también podría encadenarse con un segundo fallo de escalada de privilegios de forma que se puede inyectar código JavaScript malicioso en las páginas del sitio y hacer cosas como cambiar la contraseña de la cuenta del administrador y poder dejar archivos en tu sitio web.
Según algunas estimaciones, unos 15 millones de sitios WordPress utilizan All in One SEO Pack. Semper Fi, la empresa que gestiona el plugin, lanzó una corrección en la versión 2.1.6 el mes pasado.
4. Login Rebuilder v1.2.3
La semana pasada el boletín de seguridad US-CERT (US-CERT Cyber Security Bulletin) incluyó dos vulnerabilidades que afectan a plugins de WordPress. La primera se trata de un fallo importante del plugin Login Rebuilder frente a ataques como Cross-site Request Forgery (falsificación de petición en sitios cruzados) que permitiría a los atacantes secuestrar la autenticación de usuarios de forma arbitraria. En esencia, si un usuario visitaba una página maliciosa mientras estaba conectado en el sitio WordPress, los atacantes podían secuestrar la sesión.
Según la base de datos de vulnerabilidad nacional americana (National Vulnerability Database) el ataque, que no requería autenticación, podría dar lugar a la divulgación no autorizada de información, y la modificación y alteración del sitio. Versiones 1.2.0 y anteriores son vulnerables. El desarrollador 12net, autor de Login Rebuilder, lanzó una nueva versión 1.2.3 la semana pasada.
5. JW Player V2.1.4
La segunda vulnerabilidad incluida en el boletín del US-CERT se trata también de una vulnerabilidad de falsificación de sitios cruzados. Este plug-in permite a los usuarios integrar en el sitio web Flash y HTML5 de audio y clips de vídeo, así como sesiones de YouTube. Los atacantes podrían engañar al administrador para que visite un sitio malicioso y remotamente capturar su autenticación y retirarle los reproductores de video desde el sitio.
Versiones 2.1.3 y anteriores son vulnerables. El desarrollador la semana pasada corrigió el defecto en la versión 2.1.4.
Está claro que las actualizaciones regulares son importantes. El año pasado, Checkmarx analizó los 50 plugins más descargados y los 10 plugins de comercio electrónico para WordPress y encontró problemas de seguridad comunes en el 20 por ciento de ellos.
Sucuri advirtió la semana pasada que «miles» de sitios WordPress habían sido hackeados y habían añadido páginas de spam en el directorio núcleo wp-includes en el servidor. Cid advirtió que las páginas de SPAM se ocultan de forma aleatoria dentro de un directorio de wp-includes. Y por ejemplo se pueden encontrar en /wp-includes/finance/paydayloan.
Aunque en Sucuri no tenían pruebas definitivas de cómo estos sitios fueron comprometidos, si que comentaban que en casi todos los casos los sitios webs de WordPress no se están ejecutando con la última versión.
WordPress tiene un proceso de actualización que poco afecta a sus plugins o archivos centrales. Por lo tanto, somos los propietarios de los sitios los que tenemos regularmente que comprobar e instalar actualizaciones para todos los plugins. Y también deberíamos comprobar, a través de todos los directorios, como wp-includes, que no tenemos instalado ningún archivo desconocido.
Cid acaba comentando que la última cosa que cualquier propietario de un sitio web querría descubrir es que su marca y sus recursos han sido utilizados para acciones ilícitas.
Deja una respuesta