WordPress ha lanzado la versión 6.4.2, la cual soluciona una vulnerabilidad crítica de ejecución remota de código (RCE). Descubierta por el equipo de seguridad del proyecto, la vulnerabilidad podría ser explotada por agentes de amenazas para ejecutar código PHP arbitrario en sitios web vulnerables. WordPress, un sistema de gestión de contenidos de código abierto ampliamente utilizado, alimenta actualmente más de 800 millones de sitios, lo que constituye aproximadamente el 45% del total de sitios web de Internet.
Análisis técnico de la vulnerabilidad
El fallo de seguridad (rastreado como CVE-2023-6553 y calificado con una puntuación de gravedad de 9,8/10) fue descubierto por un equipo de cazadores de fallos conocido como Nex Team, que lo comunicó a la empresa de seguridad de WordPress Wordfence en el marco de un programa de recompensas por fallos lanzado recientemente.
La vulnerabilidad afecta a todas las versiones del plugin hasta Backup Migration 1.3.6, y los actores maliciosos pueden aprovecharla en ataques de baja complejidad sin interacción del usuario.
CVE-2023-6553 permite a atacantes no autenticados tomar el control de sitios web objetivo mediante la ejecución remota de código a través de la inyección de código PHP a través del archivo /includes/backup-heart.php.
«Esto se debe a que un atacante puede controlar los valores pasados a un include, y posteriormente aprovecharlos para lograr la ejecución remota de código. Esto hace posible que los actores de amenazas no autenticados ejecuten fácilmente código en el servidor», dijo Wordfence.
«Al enviar una solicitud especialmente diseñada, los actores de amenazas pueden aprovechar este problema para incluir código PHP arbitrario y malicioso y ejecutar comandos arbitrarios en el servidor subyacente en el contexto de seguridad de la instancia de WordPress».
En el archivo /includes/backup-heart.php utilizado por el plugin Backup Migration, se intenta incorporar bypasser.php desde el directorio BMI_INCLUDES (definido mediante la fusión de BMI_ROOT_DIR con la cadena includes) en la línea 118. Sin embargo, BMI_ROOT_DIR no se encuentra en el directorio BMI_INCLUDES.
Sin embargo, BMI_ROOT_DIR se define a través de la cabecera HTTP content-dir que se encuentra en la línea 62, con lo que BMI_ROOT_DIR está sujeto al control del usuario.
Para resolver el problema, WordPress añadió un nuevo método que impide la ejecución de la función vulnerable, evitando así su explotación.
El fallo RCE se parcheó en WordPress 6.4.2. Se recomienda a los propietarios y administradores de sitios que actualicen a la versión corregida del CMS lo antes posible.
WordPress: Una plataforma de alta exposición
Con cientos de millones de sitios web construidos sobre el sistema de gestión de contenidos (CMS) WordPress, la plataforma y sus usuarios representan una gran superficie de ataque para los actores de amenazas y, por lo tanto, son objetivos frecuentes de campañas maliciosas. Muchas de ellas llegan a través de plugins que instalan malware y proporcionan una manera fácil de exponer miles o incluso millones de sitios a posibles ataques. Los atacantes también tienden a aprovechar rápidamente los fallos que se descubren en WordPress.
A pesar de la liberación de la versión parcheada del plugin Backup Migration 1.3.8 el día del informe, casi 50.000 sitios web de WordPress que utilizan una versión vulnerable todavía tienen que ser protegidos casi una semana después, como muestran las estadísticas de descarga de WordPress.org.
Se recomienda encarecidamente a los administradores que protejan sus sitios web frente a posibles ataques CVE-2023-6553, ya que se trata de una vulnerabilidad crítica que los delincuentes no autenticados pueden explotar de forma remota.
Por otra parte, los administradores de WordPress también están siendo blanco de una campaña de phishing que intenta engañarlos para que instalen plugins maliciosos utilizando como cebo falsos avisos de seguridad de WordPress para una vulnerabilidad ficticia rastreada como CVE-2023-45124.
La segunda semana de diciembre del 2023, WordPress también corrigió una vulnerabilidad de la cadena de Programación Orientada a Propiedades (POP) que podría permitir a los atacantes obtener la ejecución arbitraria de código PHP bajo ciertas condiciones (cuando se combina con algunos plugins en instalaciones multisitio).
Acciones a tomar
Se recomienda encarecidamente que compruebe manualmente si su sitio se ha actualizado a WordPress 6.4.2. Aunque la mayoría de los sitios deberían actualizarse automáticamente. Además, es crucial proteger su sitio de WordPress en el panorama actual de amenazas. Para proteger tus activos digitales y a ti mismo, es esencial mantenerse informado sobre las últimas actualizaciones de seguridad y las mejores prácticas.
Se insta a los usuarios de WordPress a permanecer alerta ante actividades anómalas, aplicar las medidas de mitigación recomendadas y seguir los canales oficiales para obtener las últimas actualizaciones.
Referencia:
https://www.infosecurity-magazine.com/news/backup-migration-wordpress-plugin/
