Se descubrió que un popular complemento antimalware de WordPress tenía una vulnerabilidad de secuencias de comandos entre sitios reflejada. Este es un tipo de vulnerabilidad que puede permitir que un atacante comprometa a un usuario de nivel administrador del sitio web afectado.
Complemento de WordPress afectado
El complemento descubierto que contiene la vulnerabilidad es Anti-Malware Security y Brute-Force Firewall, que es utilizado por más de 200,000 sitios web.
Anti-Malware Security and Brute-Force Firewall es un complemento que defiende un sitio web como un firewall (para bloquear las amenazas entrantes) y como un escáner de seguridad, para verificar si hay amenazas de seguridad en forma de ataques de puerta trasera e inyecciones de bases de datos.
Una versión premium defiende los sitios web contra ataques de fuerza bruta que intentan adivinar contraseñas y nombres de usuario y protege contra ataques DDoS.
Vulnerabilidad de secuencias de comandos entre sitios reflejada
Se descubrió que este complemento contenía una vulnerabilidad que permitía a un atacante lanzar un ataque de secuencias de comandos entre sitios reflejados (XSS reflejado).
Una vulnerabilidad de secuencias de comandos entre sitios reflejada en este contexto es aquella en la que un sitio web de WordPress no limita adecuadamente lo que se puede ingresar en el sitio.
Ese hecho de no restringir (desinfectar) lo que se está cargando es esencialmente como dejar la puerta principal del sitio web abierta y permitir que se cargue prácticamente cualquier cosa.
Un pirata informático se aprovecha de esta vulnerabilidad cargando un script y haciendo que el sitio web lo refleje.
Cuando alguien con permisos de nivel de administrador visita una URL comprometida creada por el atacante, el script se activa con los permisos de nivel de administrador almacenados en el navegador de la víctima.
El informe de WPScan sobre seguridad antimalware y cortafuegos de fuerza bruta describió la vulnerabilidad:
«El complemento no desinfecta y escapa de QUERY_STRING antes de volver a mostrarlo en una página de administración, lo que lleva a un Cross-Site Scripting reflejado en navegadores que no codifican caracteres»
La base de datos nacional de vulnerabilidades del gobierno de los Estados Unidos aún no ha asignado a esta vulnerabilidad una puntuación de nivel de gravedad.
La vulnerabilidad en este complemento se denomina vulnerabilidad XSS reflejada.
Existen otros tipos de vulnerabilidades XSS, pero estos son tres tipos principales:
- Vulnerabilidad de secuencias de comandos entre sitios almacenadas (XSS almacenado)
- Scripting ciego entre sitios (Blind XSS)
- XSS reflejado
En una vulnerabilidad XSS a Blind XSS almacenada, el script malicioso se almacena en el propio sitio web. Estos generalmente se consideran una amenaza mayor porque es más fácil lograr que un usuario de nivel administrador active el script. Pero estos no son del tipo que se descubrieron en el complemento.
En un XSS reflejado, que es lo que se descubrió en el complemento, se debe engañar a una persona con credenciales de nivel de administrador para que haga clic en un enlace (por ejemplo, desde un correo electrónico) que luego refleja la carga maliciosa del sitio web.
El Proyecto de Seguridad de Aplicaciones Web Abiertas (OWASP) sin fines de lucro describe un XSS reflejado como este:
“Los ataques reflejados son aquellos en los que el script inyectado se refleja en el servidor web, como en un mensaje de error, resultado de búsqueda o cualquier otra respuesta que incluya parte o la totalidad de la entrada enviada al servidor como parte de la solicitud.
Los ataques reflejados se entregan a las víctimas a través de otra ruta, como en un mensaje de correo electrónico o en algún otro sitio web”.
Actualización a la versión 4.20.96 recomendada
En general, se recomienda tener una copia de seguridad de sus archivos de WordPress previamente a actualizar cualquier complemento o tema.
La versión 4.20.96 del complemento de WordPress Anti-Malware Security y Brute-Force Firewall contiene una corrección para la vulnerabilidad.
Se recomienda a los usuarios del complemento que consideren actualizar su complemento a la versión 4.20.96.
Citas
Lea los detalles de la base de datos de vulnerabilidades de Estados Unidos
Lea el informe de WPScan sobre la vulnerabilidad
Seguridad antimalware y cortafuegos de fuerza bruta
Lea el registro de cambios oficial que documenta la versión corregida
Registro de cambios de firewall de fuerza bruta y seguridad antimalware
Consultar el artículo en la publicación original
