Tres complementos de WordPress han captado bastante la atención este mes después de que los investigadores encontraron serias vulnerabilidades en ellos, y las cifras son aleccionadoras. en el sentido de que estos complementos se han instalado en más de 400, 000 sitios web, con usuarios demasiado abiertos para que los ciberataques los ignoren.

Los tres complementos en el centro de atención fueron InfiniteWP, Cápsula del tiempo de WP, y complementos de WP Database Reset.

ZDNet fue uno de los sitios de observación de tecnología para instar a los lectores a actuar:"Si usa estos complementos, debe actualizarlos inmediatamente, ya que la protección del firewall no funcionará".

HotHardware Brittany Goetting ofreció algunos números más sombríos. Hay más de 50, 000 complementos para todos y no todos son iguales, ella escribió.

De los tres en el centro de atención también se puede comenzar con la vulnerabilidad de omisión de autenticación en InfiniteWP Client. Seguridad desnuda lo describió como una herramienta que permite a los administradores administrar varios sitios de WordPress desde la misma interfaz.

Los administradores que supervisan los sitios utilizan InfiniteWP Client.

Al menos 300, 000 de sitios podrían haberse visto afectados por la vulnerabilidad, Dijo Goetting.

El complemento fue encontrado, carecía de ciertos controles de autorización. "Eres vulnerable si estás usando versiones de InfiniteWP Client hasta 1.9.4.4, y como resultado, los usuarios del complemento deben actualizar sus sitios a la versión 1.9.4.5 lo antes posible, " ella escribió.

El blog de Wordfence (Wordfence es producto de una empresa llamada Defiant) dijo que se trataba de una vulnerabilidad de autenticación crítica. "Esta mañana se publicó una prueba de concepto, 14 de enero 2020. Si está utilizando la versión 1.9.4.4 o anterior del cliente InfiniteWP, le recomendamos que actualice inmediatamente su instalación para proteger su sitio ".

Dan Goodin en Ars Technica también describió la gravedad de la vulnerabilidad de omisión de autenticación en el complemento InfiniteWP Client.

"Permite a los administradores administrar varios sitios web desde un solo servidor. La falla permite que cualquiera inicie sesión en una cuenta administrativa sin ninguna credencial. A partir de ahí, los atacantes pueden eliminar contenidos, agregar nuevas cuentas, y llevar a cabo una amplia gama de otras tareas maliciosas ".

La empresa de seguridad WebARX informó que InfiniteWP Client, y otra vulnerabilidad, Cápsula del tiempo de WP.

WP Time Capsule se diseñó para facilitar la realización de copias de seguridad de los datos del sitio web.

Ars Technica informó que el error se había corregido en la versión 1.21.16. "Los sitios que ejecutan versiones anteriores deberían actualizarse de inmediato. La empresa de seguridad web WebARX tiene más detalles". dijo Ars .

ZDNet habló sobre WP Time Capsule; Charlie Osborne en ZDNet dijo que WP Time Capsule estaba activo en al menos 20, 000 dominios, de acuerdo con la biblioteca de complementos de WordPress.

El complemento WP Database Reset recibió mucha atención, con casi 80, 000 sitios que utilizan el complemento, que ayuda a los usuarios a restablecer sus bases de datos o partes de bases de datos a su configuración predeterminada.

Wordfence:"El 7 de enero, nuestro equipo de inteligencia de amenazas descubrió vulnerabilidades en WP Database Reset, un complemento de WordPress instalado en más de 80, 000 sitios web. Una de estas fallas permitió a cualquier usuario no autenticado restablecer cualquier tabla de la base de datos al estado de configuración inicial de WordPress. mientras que la otra falla permitía a cualquier usuario autenticado, incluso aquellos con permisos mínimos, la capacidad de otorgar privilegios administrativos a su cuenta mientras elimina a todos los demás usuarios de la tabla con una simple solicitud ".

El complemento no incluía inicialmente las comprobaciones de seguridad adecuadas. "Una vulnerabilidad permitió a los atacantes restablecer cualquier tabla y provocar una pérdida de disponibilidad de datos, ", escribió Goetting." Otra vulnerabilidad permitió a cualquier suscriptor tomar el control total del sitio web y expulsar a todos los administradores. Afortunadamente, ambos defectos se han solucionado con la versión 3.15. Por supuesto, los investigadores de seguridad también alientan a los usuarios a que siempre realicen copias de seguridad de sus sitios ".

Sergiu Gartlan por BleepingComputadora prestó atención a ese hallazgo también. "Los errores críticos encontrados en el complemento de restablecimiento de la base de datos de WordPress ... permiten a los atacantes eliminar a todos los usuarios y ser elevados automáticamente a un rol de administrador y restablecer cualquier tabla en la base de datos".

El blog de Wordfence publicó este consejo, dado que estos se consideraron problemas de seguridad críticos que podrían causar el restablecimiento completo del sitio y / o la toma de control. "Recomendamos encarecidamente actualizar a la última versión (3.15) de inmediato".

Que hizo Ars Technica concluir sobre los tres complementos, InfiniteWP, Cápsula del tiempo de WP, y restablecimiento de la base de datos de WP? Tenían pocas palabras y estas salieron fácilmente:"Es hora de parchear".

Los comentarios de los lectores en Ars intentaban identificar la fuente de los problemas. "El problema, "dijo un lector, "es cuando los administradores del sitio instalan 10, 000 complementos, cada uno de los cuales se convierte en un nuevo vector de ataque ".

¿Dónde escucharon los usuarios eso antes? Revisión de negocios informáticos , en junio, declaró que "Los complementos de WordPress son ampliamente considerados como una de las mayores amenazas de seguridad para los usuarios de WordPress".

No hay evidencia de que ninguno de los tres complementos vulnerables esté siendo explotado activamente en la naturaleza, dijo Goodin.

© 2020 Science X Network