Lunes, 03 June 2019 10:48

Nuevas vulnerabilidades en diferentes plugins de WordPress

Entelgy Innotec CERT avisa de la publicación de nuevas vulnerabilidades en diferentes plugins de WordPress y recomienda a los usuarios y administradores de sistemas que apliquen los últimos parches de seguridad con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Nivel de criticidad: Crítico

  1. Existe una vulnerabilidad en un plugin de WordPress ampliamente utilizado denominado Convert Plus a la que aún no se ha asignado identificador CVE. Convert Plus es un complemento utilizado para mostrar ventanas emergentes de marketing, barras de información y otros elementos, permitiendo a los visitantes de la página web realizar distintas acciones como suscribirse a ella con una dirección de electrónico. Según el fabricante, este plugin cuenta con más de 100.000 instalaciones activas.

La vulnerabilidad identificada, que afecta a versiones anteriores a la 3.4.3 de Convert Plus, reside en la forma en que se configuran los formularios que permiten la suscripción a la página web, así como en la manera en que el plugin asigna roles de usuario a los nuevos suscriptores. De forma predeterminada, el rol que se asigna al usuario es “None”. No obstante, el propietario del sitio web puede modificar los parámetros establecidos y añadir otras funciones, exceptuando la de administrador. Sin embargo, la utilización de versiones vulnerables de Convert Plus permite a un posible atacante no autenticado y de forma remota efectuar registros de cuentas nuevas con roles de usuario arbitrarios e incluso con privilegios de administrador. Esto se debe a que el plugin es incapaz de recuperar el rol de usuario “None” predeterminado cuando se solicita la suscripción a la página web, mientras que, por el contrario, se asigna esta configuración a un campo oculto en el formulario denominado cp_set_user que puede ser modificado por el usuario, puesto que éste es proporcionado por la misma solicitud HTTP que el resto de campos requeridos para realizar la suscripción. Por tanto, esta vulnerabilidad permite al atacante introducir el valor “administrador” en el campo cp_ser_user, circunstancia que tendrá como consecuencia la creación de un nuevo usuario administrador asociado a la dirección de correo electrónico proporcionada.

A día de hoy no se ha asignado ningún identificador CVE a esta vulnerabilidad, que, además, tampoco consta en la base de datos del NIST. Por tanto, este organismo todavía no ha realizado el análisis de la vulnerabilidad y no le ha otorgado ninguna puntuación que indique su criticidad. No obstante, el fabricante afirma que la criticidad de la vulnerabilidad es crítica. Hasta el momento no se han detectado exploits que permitan a los atacantes aprovechar esta vulnerabilidad ni actividad en la red relacionada.

  1. CVE-2019-12240. La vulnerabilidad, de criticidad alta, reside en la versión 0.4 del plugin Virim de WordPress. Virim es un complemento utilizado para realizar análisis sobre la actividad que recibe un sitio web, incluyendo tendencias sobre la actividad social que se realiza sobre la página a lo largo del tiempo, así como los días y las horas en los que se haya podido detectar un aumento en la actividad, las palabras más utilizadas, etcétera. No obstante, se debe mencionar que este plugin fue retirado de la página oficial de complementos de WordPress el pasado 22 de mayo y que, además, llevaba sin ser actualizado siete años.

Se trata de una vulnerabilidad del tipo insecure deserialization, es decir, un defecto producto de una verificación insuficiente de los datos deserializados por la aplicación que no son confiables. Esta vulnerabilidad permite a un posible atacante no autenticado, a través de la red, producir una deserialización insegura a través de los valores s_values, t_values ​​o c_values ​​en graph.php, circunstancia que puede derivar en la divulgación de información, en la modificación no autorizada de los datos y en la condición de denegación del servicio, al menos de forma parcial.

La base de datos del NIST ha otorgado una puntuación de 7.5 a la vulnerabilidad CVE-2019-12240 según la escala CVSSv2. Esto es debido a que el fallo es explotable a través de la red, con una complejidad baja, sin requerir autentificación alguna y con un impacto parcial en caso de un ataque exitoso. Hasta el momento no se han detectado exploits que permitan a los atacantes aprovechar esta vulnerabilidad ni actividad en la red relacionada.

  1. CVE-2019-12241. La vulnerabilidad, de criticidad alta, reside en la versión 1.4.5 del plugin Carts Guru de WordPress. Carts Guru es un complemento utilizado para recuperar los carritos abandonados y convertirlos en ventas a través del correo electrónico, SMS, llamadas y Facebook, con una estadística de alrededor del 20% de éxito en la recuperación de clientes.

Se trata de una vulnerabilidad del tipo insecure deserialization, es decir, un defecto producto de una verificación insuficiente de los datos deserializados por la aplicación que no son confiables. Esta vulnerabilidad permite a un posible atacante no autenticado, a través de la red, producir una deserialización insegura a través de la cookie cartsguru-source hasta classes/wc-cartsguru-event-handler.php, circunstancia que puede derivar en la divulgación de información, en la modificación no autorizada de los datos y en la condición de denegación del servicio, al menos de forma parcial.

La base de datos del NIST ha otorgado una puntuación de 7.5 a la vulnerabilidad CVE-2019-12241 según la escala CVSSv2. Esto es debido a que el fallo es explotable a través de la red, con una complejidad baja, sin requerir autentificación alguna y con un impacto parcial en caso de un ataque exitoso. Hasta el momento no se han detectado exploits que permitan a los atacantes aprovechar esta vulnerabilidad ni actividad en la red relacionada.

  1. CVE-2019-11872: La vulnerabilidad identificada con CVE-2019-11872 reside en el plugin Hustle0.7 para WordPress. Este plugin es utilizado para gestionar técnicas de marketing en un sitio web, tales como listas de mailing o campañas para ganar seguidores en redes sociales. Según el repositorio oficial de Wordpress, este plugin cuenta con más de 80.000 instalaciones activas. Se trata de una vulnerabilidad de tipo CSV Injection, es decir, permite a un sitio web incrustar información maliciosa en un archivo CSV. Consiste en que este plugin no desinfecta correctamente la entrada del usuario, permitiendo a un posible atacante obtener derecho a ejecutar código malicioso en el equipo del usuario a través de funciones de Excel, consiguiendo así, una escalada de privilegios. Un ataque exitoso podría derivar en una fuga de datos sensibles y, en ciertas configuraciones, comprometer toda una instalación de WordPress. A día de hoy no han sido detectados exploits ni actividad maliciosa en la red.

Hasta el momento, la base de datos del NIST no ha puntuado la vulnerabilidad CVE-2019-11872 según la escala CVSSv2. No obstante, es conocido que para explotar esta vulnerabilidad no se requiere autenticación alguna. Este ataque cuenta con una complejidad bastante baja y requiere acceso local.

  1. Error en el plugin WP Database Backup (creación y restauración de copias de seguridad de bases de datos) que consiste en un defecto a la hora de realizar cambios en la configuración del plugin. A través de la ejecución de código arbitrario, un atacante no autenticado podría modificar la dirección de correo electrónico de destino para realizar la copia de seguridad de la base de datos, comprometiendo así, información confidencial.

Esta vulnerabilidad cuenta con un exploit que dispone, a su vez, de prueba de concepto (PoC), hecho público antes de ser conocido por el propio fabricante. 

A día de hoy no se ha asignado ningún identificador CVE a esta vulnerabilidad, por tanto, el NIST aún no ha realizado el análisis de la vulnerabilidad y no le ha otorgado ninguna puntuación que indique su criticidad. Pero el propio fabricante ha señalado que podría tener un alto impacto debido a que cuenta con más de 70.000 descargas. Además, los comandos inyectados persistirán hasta que se eliminen manualmente, ejecutándose cada vez que se ejecute una copia de seguridad ya sea de forma manual o programada.

Recursos afectados

  • Convert Plus versiones hasta la 3.4.2.
  • Virim versión 0.4.
  • Carts Guru versión 1.4.5.
  • Hustle versión 6.0.7 de este complemento. El fabricante no ha especificado si las versiones anteriores a esta se ven afectadas.
  • WP Database Backup versiones anteriores a la 5.2.

Medidas de mitigación

Entelgy Innotec CERT recomienda a los usuarios y administradores de sistemas que apliquen los últimos parches de seguridad con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

  • Actualizar el plugin Convert Plus a la versión 3.4.3:

La actualización de seguridad que soluciona las versiones vulnerables de Convert Plus se instalará automáticamente en los casos en los que se haya mantenido activa esta opción, que viene habilitada por defecto. No obstante, también se puede realizar la instalación de forma manual desde el sitio web de Convert Plus. Una vez se haya accedido al sitio con las correspondientes credenciales de usuario de CodeCanyon se deberán seguir los siguientes pasos:

  • Descargar la última versión desde esta página.
  • Desinstalar la versión anterior de su sitio web (Desactivar y Eliminar).
  • Instalar la última versión del plugin.

En caso de no poder aplicar la actualización de seguridad, el 28 de mayo Wordfence ha lanzado una regla de firewall que protege a los usuarios de Wordfence Premium y que pretende hacer pública el día 27 de junio, de forma que el resto de usuarios también pueda instalarla.

  • En cuanto al plugin Virim, teniendo en cuenta que WordPress lo ha retirado de su página oficial, no se han desarrollado actualizaciones de seguridad o parches que permitan corregir la vulnerabilidad identificada. Por tanto, se recomienda deshabilitar o desinstalar este plugin a los usuarios que lo tengan instalado.
  • Actualizar el plugin Carts Guru a la versión 4.6 en cuanto sea posible.
  • En cuanto a la vulnerabilidad identificada con el CVE-2019-11872, se insta a los usuarios a actualizar a la última versión 6.0.8.1 del plugin de Hustle lo antes posible para mitigar el riesgo en su sitio web. La actualización se encuentra disponible a través del siguiente enlace:

https://downloads.wordpress.org/plugin/wordpress-popup.6.0.8.1.zip

Se recomienda aplicar la última actualización, en caso de que no sea posible aplicar la actualización de seguridad, se recomienda deshabilitar el plugin hasta que sea posible o el fabricante aporte una solución alternativa.

  • La vulnerabilidad en WP Database Backup ha sido corregida a partir de la versión 5.2. Actualizar a la última versión, disponible en el siguiente enlace:

https://downloads.wordpress.org/plugin/wp-database-backup.zip

En caso de no poder aplicar la actualización de seguridad, los desarrolladores de Wordfence ha comunicado que los sitios que ejecutan versiones Premium están protegidos contra la explotación de estos defectos desde el 24 de abril y los sitios que ejecutan la versión gratuita recibieron la actualización de la regla del firewall el 25 de mayo.

Referencias:

Visto 499 veces

Avda. Llano Castellano, 43
28034 Madrid
+34 917 281 504
innotec.security


InnoTec

Sobre nosotros

InnoTec nace en 2002 como empresa especializada en ciberseguridad, inteligencia, prevención y gestión de riesgos. Actualmente contamos con una plantilla de más de 350 profesionales altamente cualificados en España, y estamos presentes en los principales mercados de Latinoamérica y Estados Unidos.

Ampliar información
Presentación corporativa

Este sitio web utiliza cookies propias y de terceros para el correcto funcionamiento y visualización del sitio web por parte del usuario, así como la recogida de estadísticas. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información consultando nuestra Política de Cookies.