Una falla en el plugin Anti-Malware pone en riesgo a miles de sitios en WordPress
Una vulnerabilidad que ha sido detectada recientemente en el plugin llamado Anti Malware Security and Brute-Force Firewall, que ha sido instalado en más de 100 mil sitios de WordPress, vuelve a evidenciar los riesgos de confiar en herramientas de seguridad desactualizadas dentro de un sistema tan masivo como este.
El fallo, que ha sido catalogado como CVE-205-11705, ha permitido que un usuario autenticado con privilegios tan básicos como el de suscriptor, hace que se pueda acceder a cualquier archivo guardado en el servidor, algo que puede comprometer de inmediato la confidencialidad de los sistemas.
Este fallo ha sido notificado a empresas especializadas en ciberseguridad, por parte de especialistas en el sector, quienes descubrieron que la versión 4.23.81 y versiones anteriores de este plugin, contenían un problema grave, es la falta de una verificación adecuada de permisos dentro de una función interna. Este error de validación, el cual es supuestamente sencillo, abre una grita lo suficientemente grande como para filtrar datos sensibles sin dejar huellas visibles.
El plugin afectado promete brindar protección contra el malware, ataques de fuerza bruta y vulnerabilidades conocidas en otros plugins de la plataforma WordPress. Sin embargo, el fallo estaba escondido en una de las funciones desarrolladas para inspeccionar archivos y prevenir amenazas.
La función vulnerable procesa peticiones AJAX por medio de un token que los ciberdelincuentes puedan obtenerlo con relativa sencillez. Po la falta de control de capacidades o roles de usuario, cualquier cuenta debidamente autenticada puede hacer un llamado a la función y leer archivos del sistema, cualesquiera que sean.
La vulnerabilidad incluye archivos tan sensibles como el wp-config.php, en donde se almacenan las credenciales de la base de datos, contraseñas y claves de autenticación y las de seguridad. Con todos estos datos, un actor malicioso puede sustraer hashes de contraseñas, direcciones de correo electrónico, publicaciones privadas e incluso, alterar contenido de cualquier blog de la plataforma.
La ciberseguridad es una norma en las empresas de renombre, por lo que establecer protocolos claros y tecnología de punta es necesario para no alterar los procesos de la misma. Por ello, TIC Defense pone a tu disposición un conjunto de soluciones y productos específicamente diseñados para prevenir y dar respuesta rápida a cualquier tipo de incidentes.
Aunque este fallo no ha sido catalogado como crítico, debido a que para acceder a la plataforma se requiere de autenticación previa, el riesgo no debe subestimarse en lo absoluto. En miles de sitios de WordPress los usuarios pueden registrarse con libertad para poder acceder a funciones sencillas como escribir comentarios, acceder a foros o suscribirse a boletines. Esto significa que el vector de ataque es mayor de lo que en una primera vista es.
Igualmente, cualquier sitio que permita la creación de cuentas de usuario, incluso con permisos mínimos, puede cumplir con las condiciones necesarias para ser vulnerable. Por lo tanto, los blogs con funciones de membresía o sitios privados deben parchear dicho sitio de forma inmediata.
En entornos en donde los exploits para plataformas como WordPress se pueden difundir rápidamente después de su publicación, la exposición pública a este fallo puede convertirse en una oportunidad para los atacantes que suelen buscar objetivos fáciles.
Desde que ha salido la información, cerca de 50 mil administradores han descargado la actualización y el parche, de acuerdo con las estadísticas del propio WordPress. Esto puede implicar que, al menos otros 50 mil sitios o más podrían estar ejecutando las versiones vulnerables todavía.
