Se ha encontrado una vulnerabilidad crítica en el plugin Easy WP SMTP.
Vulnerabilidad crítica en el plugin Easy WP SMTP.
Aunque la vulnerabilidad se encuentra en la versión 1.3.9 del plugin hace algunos días que los ciber delincuentes están utilizándola para infectar miles de instalaciones de WordPress.
Empieza la historia
Hace unos días me encontré que una instalación de WordPress con la que trabajo normalmente. Tenía una redirección a páginas con spam y publicidad de productos de dudosa procedencia. Esta instalación de WordPress tengo que decir que estaba actualizada a la última versión del core de WordPress, todos sus plugins estaban actualizados a su última versión y las plantillas de los temas que utilizaba también estaban actualizados a la última versión.
Todos los parámetros de seguridad que había aplicado en esa instalación estaban correctos, lo he hecho muchas veces y sé que esto estaba como tenía que estar, sin embargo, la instalación había sido hackeada y no sabía porqué.
A pesar de que el core de WordPress es bastante seguro, lo primero que pensé es que había una vulnerabilidad en el core puesto que todo estaba actualizado correctamente. Escaneé la instalación con diversos servicios online y plugins de seguridad en busca de código malicioso y con ninguno encontré nada. He de decir que para ello utilizo servicios como Virustotal o Sucuri Sitecheck Y plugins como Wordfence, All in one WordPress Security and FireWall (que ya sabeis que me encanta) y algún otro más.
Utilización de un firewall
Al no encontrar nada y descartar que habían entrado robando la contraseña del administrador de la instalación (puesto que utilizo acciones de seguridad como el doble factor de autenticación, el acceso al panel de control oculto y el acceso a archivos críticos de WordPress desde el exterior estaba capado) decidí añadir un plugin de seguridad como Ninja FireWall y esperar a ver si ocurrían acontecimientos sospechosos.
Efectivamente, tras instalarlo, empecé a observar movimientos sospechosos desde IPs de diversos países que no eran España y, por supuesto, no era yo. Todas llamaban a un archivo admin-ajax.php que como sabrás es utilizado por WordPress para diversas funciones importantes y lo que es peor, un usuario no autenticado puede hacer (desde fuera) peticiones Ajax a ese archivo para ejecutar la vulnerabilidad en el código del plugin.
¿Qué puede ocurrirnos?
Con estas peticiones se puede inyectar código, objetos PHP, incluso cambiar los roles o mejor dicho, las capacidades de acción que tienen los usuarios de WordPress de manera que un simple usuario suscriptor podría tener capacidades de administrador y no darnos ni cuenta. Esto ya suena bastante grave ¿verdad?
Estas tranquilos, la vulnerabilidad fue solucionada con la versión 1.3.9.1 del plugin. Si aún tienes la versión anterior, la 1.3.9, te recomiendo que actualices inmediatamente si no quieres tener sorpresas muy desagradables.
Consejos de seguridad para comprobar que no ha sido jaqueado
Comprueba que no hay nuevos usuarios en el menú usuarios de tu panel de administración.
Comprueba que la dirección de e-mail del administrador es correcta.
Cambia todas las contraseñas tanto de tus usuarios como del acceso ftp y el acceso a la base de datos.
Cambiar la contraseña del servidor SMTP.
Realiza todos los cambios que se te ocurran principalmente de accesos que utilizas normalmente y que nunca hayas cambiado.
Espero que antes de terminar de leer este post ya hayas actualizado el plugin y esto se haya quedado en una simple anécdota no por ello poco importante.
Recientemente, en Youtube Kids, han aparecido instrucciones para suicidarse entre los dibujos animados que ven nuestros hijos. Un hombre aparece en medio de los dibujos animados alentando a los niños a suicidarse cortándose las venas.
Instrucciones suicidas entre los dibujos animados de Youtube Kids
Siguiendo con mis avisos de seguridad, hoy os traigo un tema bastante escabroso y que me tiene muy preocupado. Los que me conocéis ya sabéis lo implicado que estoy con la seguridad y sobre todo, con la seguridad de los más pequeños.
¡El asunto es muy grave! Si eres padre o madre y tienes hijos pequeños, lo más seguro es que alguna vez les hayas dejado tu móvil para que vean series infantiles o dibujos animados ¿verdad? Una de las plataformas que más se utilizan para ello es «Youtube Kids«, un lugar destinado a que los más «peques» vean sus series y dibujos favoritos desde cualquier parte tan sólo utilizando un teléfono móvil, una tablet o el propio ordenador de casa.
Recientemente se ha descubierto que en algunas de estas series o dibujos animados de «Youtube Kids», durante unos 4 o 5 segundos, aparece un hombre realizando claros gestos de una cuchilla sobre el brazo y se le escucha decir «A los lados para llamar la atención y a lo largo para que sea eficaz», haciendo clara alusión a cortarse las venas de alguna de estas dos maneras. Una vez terminado, el video te devuelve a los dibujos animados que estábamos viendo.
Hombre Dando Instrucciones Para Suicidarse En Los Dibujos De Youtube Kids
No quiero ni imaginar la repercusión que tiene para un niño de corta edad ver este tipo de cosas. Lejos de espantarse, lo que hará será asimilar estas indicaciones y quien sabe si, en un futuro, sacarlo de su subconsciente y llevarlo a la práctica.
A muchos ya os lo he dicho en persona y aquí está el ejemplo de ello. Mi consejo es que no dejéis a vuestros hijos solos viendo series ni dibujos animados con el móvil para mantenerlos tranquilos. Haced un esfuerzo para verlo con ellos o, en contraposición, utilizar canales de confianza y no canales donde cualquiera puede colgar videos sin apenas censura y realizar prácticas dudosas.
Importante fallo de seguridad en WinRAR afecta a más de 500 millones de usuarios de Windows.
Fallo de seguridad en WinRAR
Si eres de los que usa WinRAR lo más seguro es que lo lleves utilizando muchos años y jamás lo hayas actualizado ¿verdad? Como sabrás, WinRAR es un compresor/descompresor de archivos de muchos formatos que está instalado en más de 500 millones de ordenadores de todo el mundo.
El fallo de seguridad
Se ha descubierto un importante fallo de seguridad en la aplicación WinRAR que permite a un atacante instalar y ejecutar código malicioso en nuestro ordenador.
Cómo se explota el fallo
Un fallo presente en una librería permite modificar la ruta de extracción del archivo (aunque el usuario escoja otra) y hacer que esta se a definida de antemano. De esta manera un atacante sólo podría dejar un archivo en una carpeta concreta y donde se tengan permisos. Sin embargo, a través de un exploit se puede extraer en la carpeta que queramos, por ejemplo en la carpeta de arranque de Windows, de manera que si abrimos un archivo comprimido infectado con el exploit, WinRAR extraerá el malware a esta carpeta y se ejecutará cada vez que arranquemos el ordenador.
En el siguiente video de Check Point Software Technologies, puedes ver de manera fácil cómo se explota.
¿Como puedo estar a salvo?
Lo mejor que puedes hacer es… ¡actualizar! si, eso mismo, actualizar Winrar a su última versión. Aunque el fallo de seguridad no está parcheado, han tomado cartas en el asunto.
Ya que la librería vulnerable (UNACEV2.DLL) no fue creada por ellos y no tienen el código fuente para solucionar el error, lo que han hecho ha sido eliminar el soporte de archivos .ACE en la aplicación ya que es el que tiene los problemas en la librería. Una solución burda pero efectiva.
Como consejo y alternativa real a la opción de actualizar, te invito a utilizar aplicaciones similares, y gratuitas, como 7zip, pero eso ya depende de tu opinión.
Se ha descubierto una importante vulnerabilidad en versiones de WordPress anteriores a 5.0.3 que permite a un usuario autenticado con un simple rol de «autor», ejecutar código de forma remota.
Vulnerabilidad importante en versiones de WordPress anteriores a 5.0.3
Un nuevo capítulo en la seguridad de WordPress. En este caso, se trata de una vulnerabilidad que lleva más de 6 años en el core de WordPress y que aún no se había parcheado. El atacante, mediante el uso de dos tipos de ataques como «Path Traversal» y «Local File Inclusion», puede ejecutar un código PHP arbitrario en el servidor donde se aloja la instalación de WordPress, lo que lleva a una toma de control remota completa.
Una vez ejecutado el atacante podrá acceder a todos los archivos del directorio principal de WordPress y por lo tanto además, a la base de datos de éste con el peligro que eso conlleva.
Puedes ver la prueba de concepto en el siguiente video
El hecho de que se necesite un usuario autenticado (aunque sea de rol suscriptor o autor) hace que la vulnerabilidad sea menos peligrosa pero aún así, existe y es necesario erradicarla.
¿Cómo protegerme de esta vulnerabilidad?
Actualiza tu WordPress a la versión 5.0,3 (o sucesivas) donde este fallo está parcheado y no tendrás que preocuparte de ella.
Tienes más información y un video de la prueba de concepto en este link:
El nuevo fallo de seguridad en Google+ descubierto, acelera la supresión de este servicio de Google.
Otro fallo de seguridad en Google+
Hace un tiempo ya advertimos sobre un fallo de seguridad que obligaría a cerrar la red social, pues bien, la fecha de cierre se va a adelantar debido a otro fallo grave de seguridad.
La noticia se ha hecho pública a través de un comunicado de Google, donde indica que han encontrado un fallo de seguridad introducido en una actualización en el mes de noviembre. Este fallo hará que el cierre de la aplicación Google+ se adelante. Ya no será en agosto de 2019 sino que será aproximadamente para el día 10 de marzo, 90 días hábiles a contar desde el 10 de diciembre de 2018, como dicen en el comunicado.
El fallo permitiría a un tercero solicitar información confidencial de un usuario sin éste autorizarlo y permitiría recabar información personal de todos los usuarios de Google+ como el nombre, email, edad, etc.
Más de 50 millones de usuarios están afectados por este fallo. Esperemos que se trate, como dicen, de un fallo y no sea otra artimaña del gigante tecnológico para «morir matando».
only4golf.com otra tienda falsa que nos encontramos como publicidad en las redes sociales
only4golf.com una nueva tienda que añadir a la lista de tiendas fraudulentas.
Vamos a analizar un poco esta web.
¿Por qué la consideramos una tienda falsa?
– No utiliza el protocolo seguro «https» en su url, lo que indica que NO dispone de un certificado de seguridad.
– No existen datos de la empresa que vende los productos, ni dirección, NIF, teléfono, etc.
– Existen grandes descuentos, hasta de 90%en todos los productos. ¡No!, no es una «superoferta».
– La política de privacidad y la política de devoluciones son insuficientes y no aportan datos concretos ni información sobre la empresa ni la forma de devolución.
– No existen las redes sociales de la empresa. Los iconos de las redes sociales que aparecen en el pie de página, no dirigen a las redes sino a la propia página.
Como en otras ocasiones, accedimos a esta web a través de la publicidad de Facebook. Si, en un anuncio patrocinado de Facebook apareció esta tienda falsa lo cual nos indica que existe muy poca revisión de seguridad por parte del equipo del «Caralibro». Aquí debajo añado unas capturas del anuncio en la red social donde podemos ver más la información
Otra página clon de ésta es hugecovers.com y posiblemente haya más así que estate atento si ves algo parecido.
