Los investigadores de seguridad de WordPress informaron que se encontró una falla en el complemento OptinMonster WordPress que permitía a los piratas informáticos cargar scripts maliciosos para atacar a los visitantes del sitio y conducir a la apropiación total del sitio. No realizar una verificación de seguridad básica expone a más de un millón de sitios a posibles eventos de piratería.
Falta de verificación de capacidad de punto final REST-API
Esta vulnerabilidad no se debe a que los piratas informáticos sean realmente inteligentes y encuentren una forma inteligente de explotar un complemento de WordPress perfectamente codificado. Todo lo contrario.
Según los investigadores de seguridad de la popular empresa de seguridad de WordPress Wordfence, el exploit se debió a una falla en la implementación de la API REST de WordPress en el complemento de WordPress OptinMonster que resultó en «comprobación de capacidad insuficiente. «
Anuncio publicitario
Continuar leyendo a continuación
Cuando se codifica correctamente, REST-API es un método seguro para ampliar la funcionalidad de WordPress al permitir que los complementos y temas interactúen con un sitio de WordPress para administrar y publicar contenido. Permite que un complemento o tema interactúe sin rodeos con la base de datos del sitio web sin comprometer la seguridad … si está codificado correctamente.
La documentación de la API REST de WordPress dice:
«… lo más importante que debe comprender acerca de la API es que habilita el editor de bloques y las interfaces de complementos modernas sin comprometer la seguridad o la privacidad de su sitio».
Se supone que la API REST de WordPress es segura.
Desafortunadamente, todos los sitios web que usan OptinMonster vieron comprometida su seguridad debido a cómo OptinMonster implementó la API REST de WordPress.
Anuncio publicitario
Continuar leyendo a continuación
La mayoría de los puntos finales de REST-API están comprometidos
Los puntos finales de REST-API son URL que representan las publicaciones y páginas en un sitio de WordPress que un complemento o tema puede modificar y manipular.
Pero según Wordfence, casi todos los puntos finales REST-API en OptinMonster estaban codificados incorrectamente, comprometiendo la seguridad del sitio web.
Wordfence criticó la implementación de la API REST de OptinMonster:
“… La mayoría de los puntos finales REST-API se implementaron de forma insegura, lo que hizo posible que atacantes no autenticados accedan a muchos de los distintos puntos finales en sitios que ejecutan una versión vulnerable del complemento.
… casi todos los demás puntos finales de REST-API registrados en el complemento eran vulnerables a la omisión de autorización debido a una verificación de capacidad insuficiente que permitía a los visitantes no autenticados, o en algunos casos a los usuarios autenticados con permisos mínimos, realizar acciones no autorizadas «.
No autenticado significa un atacante que no está registrado de ninguna manera con el sitio web que está siendo atacado.
Algunas vulnerabilidades requieren que un atacante se registre como suscriptor o colaborador, lo que hace que sea un poco más difícil atacar un sitio, especialmente si un sitio no acepta registros de suscriptores.
Esta vulnerabilidad no tenía tal barrera en absoluto, no era necesaria la autenticación para explotar OptinMonster, que es el peor de los casos en comparación con los exploits autenticados.
Wordfence advirtió sobre lo grave que podría ser un ataque a un sitio web usando OptinMonster:
“… Cualquier atacante no autenticado podría agregar JavaScript malicioso a un sitio que ejecuta OptinMonster, lo que en última instancia podría llevar a que los visitantes del sitio sean redirigidos a dominios externos maliciosos y sitios completamente controlados en caso de que se agregue JavaScript para inyectar nuevas cuentas de usuario administrativo o sobrescribir el complemento código con un webshell para obtener acceso de puerta trasera a un sitio «.
Anuncio publicitario
Continuar leyendo a continuación
Curso de acción recomendado
Wordfence notificó a los editores de OptinMonster y unos diez días después lanzó una versión actualizada de OptinMonster que taponó todos los agujeros de seguridad.
La versión más segura de OptinMonster es la 2.6.5.
Wordfence recomienda que todos los usuarios de OptinMonster actualicen su complemento:
«Recomendamos que los usuarios de WordPress verifiquen inmediatamente que su sitio se haya actualizado a la última versión parcheada disponible, que es la versión 2.6.5 en el momento de esta publicación».
Ofertas de WordPress documentación sobre las mejores prácticas para REST-API y afirma que es una tecnología segura.
Entonces, si se supone que este tipo de problemas de seguridad no ocurren, ¿por qué siguen sucediendo?
Anuncio publicitario
Continuar leyendo a continuación
La documentación de WordPress sobre las mejores prácticas para la API REST dice:
«… habilita el editor de bloques y las interfaces de complementos modernos sin comprometer la seguridad o la privacidad de su sitio».
Con más de un millón de sitios afectados por esta vulnerabilidad, uno tiene que preguntarse por qué, si existen las mejores prácticas, este tipo de vulnerabilidad ocurrió en el popular complemento OptinMonster.
Si bien esto no es culpa de WordPress en sí, este tipo de cosas se refleja negativamente en todo el ecosistema de WordPress.
Citación
Lea el informe sobre OptinMonster en Wordfence
1,000,000 de sitios afectados por vulnerabilidades de OptinMonster
Consultar el artículo en la publicación original
