Se ha identificado una vulnerabilidad crítica en el popular plugin de seguridad de WordPress ‘Really Simple Security’, que afecta tanto a la versión gratuita como a la versión Pro. La falla está relacionada con el mecanismo de autenticación, creando una debilidad grave.
La vulnerabilidad, identificada como CVE-2024-10924 (con una puntuación CVSS de 9,8), fue descubierta por el investigador de Wordfence, István Márton, a inicios de noviembre de 2024. Esta falla proviene de un defecto en el mecanismo de autenticación de dos factores(2FA), el cual, en lugar de reforzar la seguridad, ha generado inadvertidamente una vulnerabilidad crítica.
Descripción del problema de autenticación
El problema se origina en la función ‘check_login_and_get_user()‘, que es responsable de verificar las identidades de los usuarios al comprobar los parámetros ‘user_id’ y ‘login_nonce’. Sin embargo, cuando el parámetro ‘login_nonce’ no es válido, la función no rechaza la solicitud como se espera. En lugar de eso, invoca la función ‘authenticate_and_redirect()’, que autentica al usuario únicamente con el parámetro ‘user_id’, permitiendo así la omisión de 2FA.
Esta vulnerabilidad se vuelve explotable cuando la autenticación de dos factores está habilitada. Aunque la 2FA está desactivada por defecto, muchos administradores optan por activarla para mejorar la seguridad de las cuentas, lo que incrementa el riesgo de explotación de esta falla.
Versiones afectadas:
CVE-2024-10924 afecta a las versiones de plugins desde la 9.0.0 y hasta la 9.1.1.1 de las versiones «gratuitas», «Pro» y «Pro Multisitio». [2]
El proveedor colaboró con WordPress.org para implementar actualizaciones de seguridad obligatorias para los usuarios del complemento. Sin embargo, los administradores de los sitios web deben verificar y asegurarse de que están utilizando la última versión (9.1.2).
Recomendaciones:
- Actualizar a la versión 9.1.2 para corregir la vulnerabilidad.
- Revisar y asegurarse de que el sistema de autenticación de dos factores esté habilitado correctamente.
- Revisar permisos y configuración de seguridad en el sitio web, verificando otros posibles puntos de fallo en la configuración de seguridad, como permisos de usuario.
- Implementar herramientas de monitoreo y alertas para detectar cualquier actividad inusual o intentos de explotación de vulnerabilidades en el sitio web, como inicios de sesión no autorizados o modificaciones sospechosas en los archivos.
Referencia:
[1] «SecurityWeek,» [En línea]. Available: https://www.securityweek.com/critical-plugin-flaw-exposed-4-million-wordpress-websites-to-takeover/.
[2] «BleepingComputer,» [En línea]. Available: https://www.bleepingcomputer.com/news/security/security-plugin-flaw-in-millions-of-wordpress-sites-gives-admin-access/.
