Emma Woollacott 21 de julio de 2022 a las 13:33 UTC
Actualizado el 5 de septiembre de 2022 a las 09:59 UTC
Los errores de inyección SQL no autenticados ponen en riesgo a miles de sitios de WordPress
Un investigador de la firma de seguridad Cyllective descubrió vulnerabilidades en docenas de complementos de WordPress, que afectan a decenas de miles de instalaciones.
Dave Miller, quien lidera el equipo de pruebas de penetración de Cyllective, dice que comenzaron a probar complementos aleatorios y rápidamente encontraron una vulnerabilidad de inyección SQL no autenticada.
También encontraron una serie de vulnerabilidades de montaje de archivos locales y ejecución remota de código (RCE). Sin embargo, dado que estos problemas se encontraron en complementos muy desactualizados, el equipo decidió centrar sus esfuerzos en aquellos que recibieron actualizaciones en los últimos dos años: alrededor de 5000 complementos en total.
Puntos finales expuestos
Específicamente, el investigador buscó vulnerabilidades de inyección SQL no autenticadas y utilizó un sistema de etiquetas para identificar complementos que muestran interacción con la base de datos de WordPress; Interpolación de cadenas en cadenas similares a SQL; medidas de seguridad en relación con los intentos de desinfección; y divulgación de puntos finales no autenticados.
Y después de tres meses de investigación, dice Miller, el resultado fue un total de 35 vulnerabilidades, todas las cuales podrían haber sido explotadas por atacantes no autenticados, afectando alrededor de 60,500 instancias que ejecutan los complementos de WordPress afectados.
Los complementos sin parches RELACIONADOS amenazan a millones de sitios web de WordPress
«Aunque la gran mayoría de las vulnerabilidades que he informado eran vulnerabilidades de inyección SQL no autenticadas que habrían permitido a un atacante volcar todo el contenido de la base de datos de WordPress, estas no fueron las más devastadoras», dice Miller a The Daily Swig.
«El complemento Sitemap-by-Click5 sufrió un error de actualización de opciones arbitrarias no autenticadas que habría permitido a un atacante habilitar maliciosamente la función de registro y establecer el rol de usuario predeterminado como administrador».
Esto, dice, esencialmente permitiría a un atacante no autenticado crear una nueva cuenta de administrador y hacerse cargo de la instancia de WordPress. Y a partir de ahí, el atacante podría cargar archivos PHP maliciosos que le otorgarían al atacante, como usuario con privilegios bajos, capacidades de ejecución remota de código en el servidor subyacente.
En busca de patrones
Con un poco más de ingeniería, dice Miller, la estrategia de etiquetas del equipo podría usarse para abordar vulnerabilidades distintas a las vulnerabilidades de inyección de SQL.
«Tendrían que desarrollarse nuevos patrones que capturen las peculiaridades de la clase de vulnerabilidad para poder reconocerlas», dice. «Sin embargo, algunas clases de vulnerabilidades son difíciles o imposibles de detectar con este enfoque».
Lea sobre las últimas noticias de seguridad de WordPress
Miller dice que, a pesar de la gran cantidad de vulnerabilidades descubiertas, el proceso de divulgación transcurrió sin problemas y el equipo informó cada vulnerabilidad a medida que se descubría, en ocasiones hasta cuatro o cinco por día.
«WPScan [a WordPress security vendor] coordinó el proceso de comunicación entre todas las partes involucradas (investigadores, autor del complemento y el equipo del complemento de WordPress) de manera oportuna”, dice.
Y, agrega, el equipo todavía está trabajando en más complementos, con más vulnerabilidades descubiertas y divulgadas de manera responsable.
«La seguridad es, en última instancia, responsabilidad del desarrollador del complemento, y el equipo del complemento fomenta esto lo mejor que puede», le dice un portavoz de WordPress a The Daily Swig.
“Con ese fin, existen pautas que los autores de complementos pueden consultar antes de enviar complementos al directorio. Se espera que todos los desarrolladores sigan estas pautas. Además, tienen una guía de complementos que cubre las mejores prácticas de seguridad”.
NO TE LO PIERDAS W3C presenta los identificadores descentralizados como estándar web