Una vulnerabilidad grave expone todas las webs que usan WordPress a ataques

Según los investigadores, una vulnerabilidad severa de WordPress que se ha dejado un año sin ser reparada tiene el potencial de afectar a innumerables sitios web que ejecutan el CMS.

En la conferencia técnica sobre ciberseguridad de BSides en Manchester el jueves, el investigador de Secarma, Sam Thomas, dijo que el error permite a los atacantes explotar el marco PHP de WordPress, lo que resulta en un compromiso total del sistema.

Si el dominio permite la carga de archivos, como los formatos de imagen, los atacantes pueden cargar un archivo en miniatura creado para activar una operación de archivo a través del contenedor de flujo "phar: //".

A su vez, el exploit desencadena errores de entidad eXternal (XXE - XML) y de falsificación de solicitudes del lado del servidor (SSRF) que causan la deserialización en el código de la plataforma.

Si bien estos defectos solo pueden dar como resultado originalmente la divulgación de información y pueden ser de bajo riesgo, pueden actuar como un camino hacia un ataque de ejecución de código remoto más serio.

El investigador de seguridad dice que la vulnerabilidad central, que aún no ha recibido un número CVE, está dentro de la función wp_get_attachment_thumb_file en /wpincludes/post.php y cuando los atacantes obtienen el control de un parámetro utilizado en la llamada "file_exists", la vulnerabilidad puede ser desencadenada.

La deserialización ocurre cuando las variables serializadas se vuelven a convertir en valores PHP. Cuando la carga automática está en su lugar, esto puede hacer que el código se cargue y se ejecute, una función que los atacantes pueden explotar para comprometer los marcos basados en PHP.

"La deserialización de los datos controlados por el atacante es una vulnerabilidad crítica conocida, que puede resultar en la ejecución de código malicioso", dice la compañía.

El tema de la deserialización se descubrió por primera vez en 2009, y desde entonces, se han reconocido vulnerabilidades en las que la integridad de los sistemas PHP puede verse comprometida, como CVE-2017-12934, CVE-2017-12933, y CVE-2017-12932.

El sistema de gestión de contenido (CMS) de WordPress es utilizado por millones de webmasters para administrar dominios, lo que significa que la vulnerabilidad tiene potencialmente un gran conjunto de víctimas a las que atacar.

"He resaltado que la deserialización está expuesta a muchas vulnerabilidades que anteriormente se consideraban de bajo riesgo", explica Thomas.

"Los problemas que podrían haber pensado que se habían solucionado con un cambio de configuración o que se habían considerado bastante menores previamente podrían necesitar una reevaluación después de los ataques que demostré".

Según Secarma, el proveedor de CMS Wordpress se enteró del problema de seguridad en febrero de 2017, pero "todavía no ha tomado medidas".

Los detalles técnicos se han proporcionado en un White Paper en PDF.

"Esta investigación continúa una tendencia reciente preocupante, al demostrar que la serialización de objetos es una parte integral de varios lenguajes modernos", dijo Thomas. "Debemos estar constantemente al tanto del impacto de la seguridad de que dichos mecanismos estén expuestos a los atacantes".

No se han recibido informes que sugieran que el exploit se esté utilizando activamente en el mundo real.

La vulnerabilidad se informó originalmente a través del programa de recompensas de errores HackerOne de WordPress el año pasado. El problema fue confirmado después de varios días y Thomas fue acreditado por sus hallazgos.

Sin embargo, un portavoz de Secarma le dijo que si bien hubo "algún intento de solucionar el problema" en mayo de 2017, esto no solucionó el problema.