Encontrada una vulnerabilidad crítica en el plugin Easy WP SMTP

Encontrada una vulnerabilidad crítica en el plugin Easy WP SMTP

Se ha encontrado una vulnerabilidad crítica en el plugin Easy WP SMTP.

 

Vulnerabilidad crítica en el plugin Easy WP SMTP.

 

Aunque la vulnerabilidad se encuentra en la versión 1.3.9 del plugin hace algunos días que los ciber delincuentes están utilizándola para infectar miles de instalaciones de WordPress.

 

Empieza la historia

Hace unos días me encontré que una instalación de WordPress con la que trabajo normalmente. Tenía una redirección a páginas con spam y publicidad de productos de dudosa procedencia. Esta instalación de WordPress tengo que decir que estaba actualizada a la última versión del core de WordPress, todos sus plugins estaban actualizados a su última versión y las plantillas de los temas que utilizaba también estaban actualizados a la última versión.

Todos los parámetros de seguridad que había aplicado en esa instalación estaban correctos, lo he hecho muchas veces y sé que esto estaba como tenía que estar, sin embargo, la instalación había sido hackeada y no sabía porqué.

A pesar de que el core de WordPress es bastante seguro, lo primero que pensé es que había una vulnerabilidad en el core puesto que todo estaba actualizado correctamente. Escaneé la instalación con diversos servicios online y plugins de seguridad en busca de código malicioso y con ninguno encontré nada. He de decir que para ello utilizo servicios como Virustotal o Sucuri Sitecheck Y plugins como Wordfence, All in one WordPress Security and FireWall (que ya sabeis que me encanta) y algún otro más.

 

Utilización de un firewall

Al no encontrar nada y descartar que habían entrado robando la contraseña del administrador de la instalación (puesto que utilizo acciones de seguridad como el doble factor de autenticación, el acceso al panel de control oculto y el acceso a archivos críticos de WordPress desde el exterior estaba capado) decidí añadir un plugin de seguridad como Ninja FireWall y esperar a ver si ocurrían acontecimientos sospechosos.

Efectivamente, tras instalarlo, empecé a observar movimientos sospechosos desde IPs de diversos países que no eran España y, por supuesto, no era yo. Todas llamaban a un archivo admin-ajax.php que como sabrás es utilizado por WordPress para diversas funciones importantes y lo que es peor, un usuario no autenticado puede hacer (desde fuera) peticiones Ajax a ese archivo para ejecutar la vulnerabilidad en el código del plugin.

 

¿Qué puede ocurrirnos?

Con estas peticiones se puede inyectar código, objetos PHP, incluso cambiar los roles o mejor dicho, las capacidades de acción que tienen los usuarios de WordPress de manera que un simple usuario suscriptor podría tener capacidades de administrador y no darnos ni cuenta. Esto ya suena bastante grave ¿verdad?

Estas tranquilos, la vulnerabilidad fue solucionada con la versión 1.3.9.1 del plugin. Si aún tienes la versión anterior, la 1.3.9, te recomiendo que actualices inmediatamente si no quieres tener sorpresas muy desagradables.

 

Consejos de seguridad para comprobar que no ha sido jaqueado

Comprueba que no hay nuevos usuarios en el menú usuarios de tu panel de administración.

Comprueba que la dirección de e-mail del administrador es correcta.

Cambia todas las contraseñas tanto de tus usuarios como del acceso ftp y el acceso a la base de datos.

Cambiar la contraseña del servidor SMTP.

Realiza todos los cambios que se te ocurran principalmente de accesos que utilizas normalmente y que nunca hayas cambiado.

 

Espero que antes de terminar de leer este post ya hayas actualizado el plugin y esto se haya quedado en una simple anécdota no por ello poco importante.

Tipos de vulnerabilidades en aplicaciones web

Tipos de vulnerabilidades en aplicaciones web

Conoce los tipos de vulnerabilidades que nos podemos encontrar en una aplicación web.

Si aún te preguntas si debes o no actualizar tus plugins, temas o core de WordPress, te animo a que veas este artículo hasta el final y compruebes por ti mismo lo que te puede ocurrir si no lo haces.

En este post iré recopilando los diferentes tipos de vulnerabilidades que nos podemos encontrar en las aplicaciones web. Os dejo una pequeña descripción de cada una de ellas para que se entienda y algunos ejemplos de explotaciones. Para los ejemplos hemos creado unos videos explicativos usando WordPress como gestor de contenidos web.

 

Tipos de vulnerabilidades

Cross-Site Scripting (XSS) 

XSS, del inglés Cross-site scripting es un tipo de vulnerabilidad o agujero de seguridad típico de las aplicaciones Web, que permite a un usuario malintencionado inyectar código JavaScript en páginas web visitadas.

Un atacante puede realizar una petición post inyectando un string.

Para entender mejor cómo se explota mira este video explicativo

 

Multiple Cross-Site Scripting (XSS)

Se realizan múltiples ataques de XSS lo cual permite a un usuario malintencionado inyectar código JavaScript en páginas web visitadas.

 

Stored XSS (inyección de código almacenado)

Se trata de uno de los ataques más peligrosos ya que el código que inyecta el atacante se almacena en tu base de datos.

Los ataques almacenados son aquellos en los que el script insertado se almacena permanentemente en los servidores de destino, como en una base de datos, foro de mensajes, registro de visitantes, campo de comentarios, etc. La víctima recupera el script malicioso del servidor cuando solicita la información almacenada. Stored XSS también se conoce como Persistent o Type-I XSS.

 

Unauthenticated Stored XSS

Un usuario no autenticado o un usuario sin privilegios, que puede enviar un evento, puede insertar código JavaScript en la páginas web a través del navegador.

¿Quieres ver una Prueba de Concepto de cómo explotar esta vulnerabilidad? Pues mira este vídeo donde un usuario sin privilegios, que puede enviar un evento, puede insertar código JavaScript en la miniatura del mapa de Google Maps y la víctima será cualquier usuario que visite la web y vea el mapa.

 

SQL Injection

Aprovechando un fallo en la programación de la aplicación, un usuario puede ejecutar consultas en el navegador de la víctima. Estas consulta sirven para ver o recopilar información sobre la aplicación atacada y todos sus datos.

 

CSRF

Authenticated Stored XSS & CSRF

El CSRF (del inglés Cross-site request forgery o falsificación de petición en sitios cruzados) es un tipo de exploit malicioso de un sitio web en el que comandos no autorizados son transmitidos por un usuario en el cual el sitio web confía.

 

Server Side Request Forgery (SSRF)

Se refiere a un ataque en el que un atacante puede enviar una solicitud elaborada desde una aplicación web vulnerable. La SSRF generalmente se utiliza para atacar sistemas internos detrás de firewalls que normalmente no son accesibles para un atacante desde la red externa. Además, también es posible que un atacante aproveche la SSRF para acceder a los servicios desde el mismo servidor que está escuchando en la interfaz loopback (127.0.0.1)

 

¿Viste los videos? Fácil ¿verdad? con esto queda demostrado que un usuario sin muchos conocimientos puede crear un grave problema en tu WordPress.

Como ya comenté, iremos añadiendo más vulnerabilidades y más videos explicativos. Manteneos atentos 😉

 

Si te gustó, valora este artículo [kkstarratings]

 

Vulnerabilidades WordPress 4 Mayo 2018

Vulnerabilidades WordPress 4 Mayo 2018

Repaso de las Vulnerabilidades encontradas en WordPress con fecha 4 mayo 2018

Vulnerabilidades WordPress 4 Mayo 2018

Vamos a hacer un repaso de las vulnerabilidades encontradas en WordPress a fecha 4 de Mayo de 2018. Como siempre los datos los he sacado de la base de datos de wpvulndb.com. La comunidad WordPress, estamos esperando una nueva versión del core de WordPress (4.9.6) donde anuncian cambios en relación a la RGPD.

 

Vulnerabilidades WordPress 4 Mayo 2018

Estas son las vulnerabilidades encontradas en plugins de WordPress y que se solucionan con la actualización de éstos a su última versión.

 

WF Cookie Consent 1.1.3 – Authenticated Persistent Cross-Site Scripting (XSS)

Un atacante puede ejecutar código malicioso en el navegador de una víctima para realizar diversas actividades, como robar cookies, tokens de sesión, credenciales y datos personales, entre otros.

Afecta a sitios web de WordPress que ejecutan el complemento “WF Cookie Consent” versión 1.1.3 (las versiones anteriores también pueden verse afectadas).

Solución:
Actualizar a la última versión del plugin (1.1.4)

 

NextGEN Gallery 2.2.44 – Cross-Site Scripting (XSS)

Se ha descubierto una vulnerabilidad XSS en NextGEN Gallery 2.2.30 y versiones anteriores. La vulnerabilidad es causada por un error porque los atributos de la imagen “Alt” y “Title” no procesan correctamente los datos proporcionados por el usuario.

Solución:
Actualiza a la última versión del plugin donde el paquete de firmas está actualizado.

Form Maker by WD 1.12.22 – CSV Injection

Un atacante puede ver y descargar datos de un formulario en formato csv

Afecta a sitios web de WordPress que tenga instalado el plugin en su versión: 1.12.20 y anteriores.

Solución:

Actualizar a la versión 1.12.24

 

Hasta aquí el resumen de vulnerabilidades encontradas recientemente. Recuerda compartir este contenido.

Valórame, es gratis, solo te cuesta un click [kkstarratings]

 

Cross-Site Scripting (XSS) 

XSS, del inglés Cross-site scripting es un tipo de vulnerabilidad o agujero de seguridad típico de las aplicaciones Web, que permite a un usuario malintencionado inyectar código JavaScript en páginas web visitadas.

 

Cross-Site Scripting (XSS) 

Un atacante puede realizar una petición post inyectando un string, por ejemplo un alert como el siguiente:

<script type="text/javascript">alert("hola");</script>

 

Aprovechando una vulnerabilidad en el código de alguna aplicación, plugin, plantilla de tema, etc., un usuario malintencionado puede introducir una cadena de código javascript para que se ejecute en el navegador.

 

A continuación te dejo un video explicativo para entender mejor cómo se explota esta vulnerabilidad.

 

 

Vulnerabilidades 28 de Marzo 2018

Vulnerabilidades 28 de Marzo 2018

Informe sobre últimas vulnerabilidades encontradas en WordPress

Estas son las últimas vulnerabilidades encontradas en WordPress.

Si tienes alguno de estos plugins te recomiendo actualizar a su última versión inmediatamente. Espero que este servicio te sirva de ayuda para mantener tu WordPress seguro.

 

Vulnerabilidades en PLUGINS

Vulnerabilidad –> Unauthenticated Stored XSS

Plugins afectados:

Events Manager v5.8.1.1

Events Manager v5.8.1.1

Un usuario no autenticado o un usuario sin privilegios, que puede enviar un evento, puede insertar código JavaScript en la miniatura del mapa de Google Maps.

La brecha de seguridad se ha arreglado en la version 5.8.1.2 del plugin

¿Quieres ver una POC de cómo explotar esta vulnerabilidad? Pues mira este vídeo

Vulnerabilidad –> Cross-Site Scripting (XSS) 

Plugins afectados:

Duplicator v1.2.32

Duplicator v1.2.32

 

XSS, del inglés Cross-site scripting es un tipo de vulnerabilidad o agujero de seguridad típico de las aplicaciones Web, que permite a un usuario malintencionado inyectar código JavaScript en páginas web visitadas.

Un atacante puede realizar una petición post inyectando un string.

Conoce los detalles y aprende cómo pueden explotar esta vulnerabilidad en el siguiente video

Vulnerabilidad –> Multiple Cross-Site Scripting (XSS)

Plugins afectados:

Activity Log v2.4.0

Activity Log v2.4.0

 

XSS, del inglés Cross-site scripting es un tipo de vulnerabilidad o agujero de seguridad típico de las aplicaciones Web, que permite a un usuario malintencionado inyectar código JavaScript en páginas web visitadas.

El fallo de seguridad se ha arreglado en la version 2.4.1 del plugin

 

Valórame, es gratis, solo te cuesta un click [kkstarratings]

 

Plugin Site Editor 1.1.1 vulnerable en WordPress

Plugin Site Editor 1.1.1 vulnerable en WordPress

Explotando la vulnerabilidad del Plugin Site Editor 1.1.1 WordPress – Local File Inclusion

Existe una vulnerabilidad en el Plugin Site Editor en su versión 1.1.1, que permite a un atacante incluir un archivo en la respuesta de una petición realizada por url. La vulnerabilidad fue publicada el 2018-03-16 con identificación [CVE-2018-7422] Local File Inclusion (LFI) vulnerability in WordPress Site Editor Plugin. 

El ataque a esta vulnerabilidad puede ser realizado a través de la red, y desde el propio navegador.

Puedes ver el video al final de esta publicación.

Plugin Site Editor 1.1.1 vulnerable en WordPress

 

Con este post doy comienzo a una nueva sección tanto de la web como de mi canal de Youtube, sobre explotación de vulnerabilidades en WordPress. En ella veremos cómo explotar vulnerabilidades de Plugins, temas y del nucleo de WordPress.

Para ello contaremos con la colaboración de mi amigo y compañero Sergio Saiz (s0nH4cK). Sergio es ingeniero de Sistemas y responsable del departamento de seguridad de Netkia (empresa en la que trabajamos ambos). Además es el fundador y director del congreso de seguridad Sh3llcon, donde tengo la suerte de compartir organización con él y con otros compañeros.

Os animo a estar atentos y atentas a esta web y a mis redes sociales, pues se acercan novedades muy importantes respecto a nuevas secciones de videotutoriales sobre seguridad en WordPress.

Puedes saber más acerca de esta vulnerabilidad en exploit-db.com

Aquí te dejo el video, espero que te guste

 

Si te ha gustado déjame tus comentarios. También puedes sugerirme ideas para futuros tutoriales relacionados con la seguridad en WordPress o con trucos de seguridad en general.

 

Valórame, es gratis, solo te cuesta un click [kkstarratings]

Centro de preferencias de privacidad

Cookies de sesión

Con ellas almacenamos tu nombre, correo, IP y demás datos que dejas en los formularios de comentarios, contacto y acceso.

AUTH_KEY,SECURE_AUTH_KEY,LOGGED_IN_KEY,NONCE_KEY,comment_author, comment_author_email, comment_author_url,rated,gdpr,et_editor,gawdp

Cookies externas

Se almacenan tus usos de navegación, si estás suscrito a mi newsletter y los elementos compartidos en redes sociales.

_ga,_gid
_ga,_gid
cfduit_,_ga,_gid,intercom-id,intercom-lou,mailerlite:language,mailerlite:webform
PREF, VISITOR_INFO1_LIVE, YSC, NID, YSC, _gid, ga, LD_T, LD_U, LD_R, LD_S