jueves, noviembre 27, 2014

WordPress: Si esta semana no te ocupaste de su seguridad... ha sido una mala idea

Si tienes instalado un WordPress, esta es una semana para preocuparse de verdad de la seguridad. Es probable que si no has tenido cuidado puede que alguien haya aprovechado alguna de las múltiples cosas que han salido publicadas, así que hoy toma un rato para preocuparte por él, ya que hay actualizaciones de seguridad, exploits publicados y pueden que te hayan hasta infectado algún blog.

Figura 1: Esta semana ha sido dura para la seguridad de WordPress

Exploit remoto para WordPress WP-Backup Plugin

Este ha sido quizá el fallo más peligroso que ha salido y desde luego se ha empezado a utilizar masivamente así que, si no has tenido cuidado, lo más probable es que te hayan robado la base de datos de tu WordPress y debas cambiar las contraseñas de todas tus cuentas y/o activar alguna protección extra como Latch para WordPress.

Figura 2: Sección del exploit escrito en Bash para robar el backup de WordPress WP-Backup Plugin

El problema es que ha salido publicado un Exploit para WP-Backup Plugin 2.2.4 escrito en Bash Script que está disponible en Full-Disclosure y que permite a un atacante remoto llevarse el backup completo de tu WordPress. Por supuesto nosotros hemos metido la detección de nuestro sistema de pentesting persistente Faast, pero debes comprobar si tienes esta versión vulnerable y si es así, actualizar y preparar un plan asumiendo que te han robado las contraseñas.

WordPress 4.0.1: Actualización Crítica de Seguridad

Desde WordPress se ha publicado una actualización de seguridad 4.0.1 que corrige un total de 23 CVEs de seguridad, es decir, una buena cantidad de ellos, incluido el siguiente que os pongo en este artículo. La actualización es crítica, ya que se puede explotar inyección de comandos remotamente, por lo que que deberías actualizar urgentemente. 

Figura 3: Actualización de seguridad crítica de WordPress 4.1

Si ya tienes instalado Latch en WordPress, nuestro equipo de QA ya comprobó la actualización y el sistema funciona perfectamente, así que cuanto antes migres mejor que mejor.

Figura 4: Confirmación de comprobación de Latch en WordPress 4.0.1


WordPress 3 Persistent Script Injection

El pasado 20 de Noviembre se publicó en la lista Full-Disclosure un bug de inyección de JavaScript en comentarios. Esto no afecta a la vista de administrador - ya que los comentarios son truncados - pero si se aprueban afectan a todos los usuarios. Esto puede utilizarse para ataques de BlackSEO, distribución de malware, etcétera.

Figura 5: Workaround propuesto para solucionar este bug

Afecta a todas las versiones desde WordPress 3.0 a WordPress 3.9.2. La respuesta de WordPress es pásate a la versión 4.0.1, pero si no quieres pasar a la versión 4.x tendrás que aplicar un workaround propuesto por los descubridores del bug.

Preocupación constante por la seguridad

Cada vez son más rápidamente explotados los bugs que se descubren, así que si tienes una superficie de servidores con cualquier framework expuestos a Internet, debes estar muy atento a todas las actualizaciones de seguridad que salen, pero debes tomártelo muy en serio.

El tiempo para "yo me ocupo de la seguridad una vez al mes" hace tiempo que pasó, así que fortifica desde la instalación, y asegúrate de que diariamente estás vigilando qué sucede. Tienes asumir que siempre habrá cosas de las que no te enterarás y es mejor poner todas las medidas de mitigación posibles, como cambio de contraseñas periódicas, autenticación de segundo factor, backups, revisión de seguridad periódica - o continua -, etcétera, etcétera.

Saludos Malignos!

1 comentario: