El error del complemento de WordPress permite a los suscriptores eliminar sitios - Calendae | Informática, Electrónica, CMS, Ciberseguridad

El error del complemento de WordPress permite a los suscriptores eliminar sitios

Hola otra vez. Soy Eduardo Arroyo y en el día de hoy te voy a contar sobre El error del complemento de WordPress permite a los suscriptores eliminar sitios

El error del complemento de WordPress permite a los suscriptores eliminar sitios

La falla, que se encuentra en el complemento Hashthemes Demo Importer, permite a cualquier usuario autenticado sangrar un sitio vulnerable, eliminando casi todo el contenido de la base de datos y los medios cargados.

Los investigadores han descubierto un complemento de WordPress asesino que permite a los suscriptores eliminar sitios del contenido.

La falla de seguridad de alta gravedad radica en Importador demo de hashthemes, un complemento utilizado en más de 8.000 instalaciones activas.

Según los investigadores de seguridad de Wordfence, la vulnerabilidad permite a cualquier usuario autenticado sangrar por completo un sitio vulnerable, «borrando permanentemente casi todo el contenido de la base de datos y todos los medios cargados».

El complemento HashThemes Demo Importer está diseñado para permitir a los administradores importar fácilmente demostraciones para temas de WordPress con un solo clic, sin tener que administrar dependencias como archivos XML, opciones de tema .json, archivos de personalización .dat o archivos de widget .wie.

Un martes escríbeloRam Gall de Wordfence dijo que el equipo de inteligencia de amenazas de Wordfence inició el proceso de divulgación de errores el 25 de agosto. Durante casi un mes, el desarrollador no respondió, por lo que Wordfence se puso en contacto con el equipo de complementos de WordPress el 20 de septiembre.

Yanks plugin de WordPress, saca Fix Lickety-Split

El mismo día, el equipo de WordPress eliminó temporalmente el Importador de demostración de Hashthemes del repositorio, y unos días después, el 24 de septiembre, se puso a disposición una versión parcheada, aunque el complemento cambio de registro no lo menciona.

El complemento corta casi todas las tablas de la base de datos

Gall de Wordfence explicó que el complemento de importación de demostración de Hashthemes no realizaba comprobaciones de capacidad para muchas de sus acciones de Ajax. Ajax es una tecnología basada en JavaScript que permite que una página web recupere nueva información y se presente sin actualizar la página.

«Mientras se realizaba una verificación de nonce, el nonce de AJAX era visible en el panel de administración para todos los usuarios, incluidos los usuarios limitados como los suscriptores», según el informe de Wordfence. “La consecuencia más grave de esto fue que un usuario de nivel de suscriptor podía restablecer todo el contenido de un sitio en particular.

Específicamente, cualquier usuario que haya iniciado sesión podría activar la función Ajax hdi_install_demo y proporcionar un parámetro de restablecimiento establecido en verdadero, escribió Gall, lo que provocó que el complemento realizara su función database_reset.

«Esta función borró la base de datos al truncar todas las tablas de la base de datos en el sitio, excepto wp_options, wp_users y wp_usermeta», continuó Gall. «Una vez que se borró la base de datos, el complemento ejecutó su función clear_uploads, que eliminó todos los archivos y carpetas en wp-content / uploads».

Escuchémoslo para obtener copias de seguridad

Gall dijo que la vulnerabilidad debería recordarnos la importancia de las copias de seguridad para la seguridad de un sitio. «Si bien la mayoría de las vulnerabilidades pueden tener efectos destructivos, sería imposible recuperar un sitio donde se explotó esta vulnerabilidad a menos que se realice una copia de seguridad», escribió. Dado que la vulnerabilidad puede llevar a la toma de control completa del sitio, solicitó que, si conoce a alguien que usa este complemento en su sitio, se lo notifique.

Los complementos expanden la superficie de ataque

Rick Holland, CISO y vicepresidente de estrategia del proveedor de protección de riesgos digitales Digital Shadows, señaló que la vulnerabilidad del complemento destaca la mayor superficie de ataque introducida por el código de terceros, así como las extensiones del navegador.

Depende de los proveedores de software hacerse cargo de esto: «Las empresas de software son responsables de su código y del código que se ejecuta en la parte superior de su código», dijo Holland a Threatpost por correo electrónico.

Jake Williams, cofundador y director de tecnología de la empresa de respuesta a incidentes BreachQuest, dijo que el incidente destaca la complejidad de la gestión de vulnerabilidades. «Las organizaciones no solo necesitan conocer los sistemas de administración de contenido que están usando, sino también los complementos que se ejecutan en esos sistemas», dijo a Threatpost el miércoles. “Este es otro ejemplo de seguridad de la cadena de suministro donde el sistema WordPress era confiable, pero el complemento (que el equipo de seguridad probablemente ni siquiera sabía que estaba instalado) los dejó vulnerables.

Solo los Brats demuelen los sitios

Williams también señaló que este tipo de falla atrae a idiotas, a diferencia de atacantes motivados financieramente. «No creo que la mayoría de los actores de amenazas estén interesados ​​en eliminar las bases de datos y el contenido de los sitios de WordPress», dijo a Threatpost el miércoles. “Va en contra de los objetivos de la mayoría de los actores de amenazas. Dicho esto, espero que algunas personas apunten a estos sistemas por diversión, por lo que es un riesgo grave «.

Holland está de acuerdo: «Los actores de amenazas destructivas, los ciber activistas o los actores que eliminan sitios para el ‘lulz’ estarían más interesados ​​en este tipo de vulnerabilidad», dijo.

Holland agregó que tampoco sería difícil aprovechar esta vulnerabilidad: «La explotación de esta vulnerabilidad requiere autenticación, pero dado el uso de contraseñas y la apropiación de cuentas, esa barra no es tan alta como debería ser».

Cómo tejer la seguridad en WordPress

Leo Pate, consultor de gestión de la empresa de seguridad de aplicaciones nVisium, señaló que WordPress es como cualquier software: es decir, está hecho por humanos falibles. «Sus desarrolladores y los que fabrican componentes de WordPress, como complementos y plantillas, están destinados a cometer errores», dijo en un correo electrónico a Threatpost el miércoles. Publicó la siguiente hoja de trucos sobre cómo mirar de manera integral un entorno de WordPress e integrar la seguridad en todos sus componentes: capas de servidor, red y aplicaciones.

Sus recomendaciones incluyen:

  • No ejecute los servicios del servidor de WordPress como usuarios administrativos
  • Asegúrese de que todos los programas instalados en el servidor, así como el servidor en sí, estén actualizados con los últimos parches.
  • El servidor solo permite conexiones en TLSv1.2 o TLSv1.3, los dígitos utilizados para tales conexiones deben proporcionar un secreto de reenvío perfecto y el dominio debe participar en la transparencia del certificado.
  • Las credenciales de usuario predeterminadas deben cambiarse en la instancia de WordPress, así como las credenciales de la base de datos (si no se hizo durante la configuración inicial)
  • Todos los complementos o plantillas utilizados en WordPress deben provenir de fuentes confiables y estar actualizados.

Dentro del portal de complementos de WordPress, los usuarios pueden ver información que incluye:

  • Cuándo se actualizó por última vez el complemento
  • Revisión o comentarios sobre el complemento por parte de los usuarios
  • ¿Cuántas veces se ha instalado? Todavía hay una buena cantidad de cosas que los usuarios pueden hacer para proteger sus sitios web de WordPress que no se enumeran aquí. Algunos recursos excelentes para obtener más información incluyen la documentación del Center for Internet Security Benchmark (https://learn.cisecurity.org/benchmarks) y la documentación de seguridad de WordPress (https://wordpress.org/support/category/security).

.

Deberías compartir en una historia de tu Instagram para que tus amigos lo lean

??? ? ? ???

Comparte