imágenes falsas
Millones de sitios de WordPress recibieron una actualización forzada durante el último día para corregir una vulnerabilidad crítica en un complemento llamado UpdraftPlus.
El parche obligatorio se produjo a pedido de los desarrolladores de UpdraftPlus debido a la gravedad de la vulnerabilidad, que permite a los suscriptores, clientes y otras personas que no son de confianza descargar la base de datos privada del sitio siempre que tengan una cuenta en el sitio vulnerable. Las bases de datos suelen incluir información confidencial sobre los clientes o la configuración de seguridad del sitio, lo que hace que millones de sitios sean susceptibles a violaciones de datos graves que filtran contraseñas, nombres de usuario, direcciones IP y más.
Malos resultados, fácil de explotar
UpdraftPlus simplifica el proceso de copia de seguridad y restauración de bases de datos de sitios web y es el complemento de copia de seguridad programada más utilizado en Internet para el sistema de administración de contenido de WordPress. Agiliza la copia de seguridad de datos en Dropbox, Google Drive, Amazon S3 y otros servicios en la nube. Sus desarrolladores dicen que también permite a los usuarios programar copias de seguridad periódicas y es más rápido y utiliza menos recursos del servidor que los complementos de WordPress de la competencia.
“Este error es bastante fácil de explotar, con algunos resultados muy malos si se explota”, dijo Marc Montpas, el investigador de seguridad que descubrió la vulnerabilidad y la informó en privado a los desarrolladores del complemento. “Hizo posible que los usuarios con pocos privilegios descargaran las copias de seguridad de un sitio, que incluyen copias de seguridad de bases de datos sin procesar. Las cuentas de privilegios bajos pueden significar muchas cosas. Suscriptores regulares, clientes (en sitios de comercio electrónico, por ejemplo), etc.”
Montpas, investigador de la firma de seguridad de sitios web Jetpack, dijo que encontró la vulnerabilidad durante una auditoría de seguridad del complemento y proporcionó detalles a los desarrolladores de UpdraftPlus el martes. Un día después, los desarrolladores publicaron una solución y acordaron forzar su instalación en los sitios de WordPress que tenían instalado el complemento.
Las estadísticas proporcionadas por WordPress.org muestran que 1,7 millones de sitios recibieron la actualización el jueves, y más de 287 000 adicionales la habían instalado al cierre de esta edición. WordPress dice que el complemento tiene más de 3 millones de usuarios.
Al revelar la vulnerabilidad el jueves, UpdraftPlus escribió:
Este defecto permite que cualquier usuario que haya iniciado sesión en una instalación de WordPress con UpdraftPlus activo ejerza el privilegio de descargar una copia de seguridad existente, un privilegio que debería haberse restringido solo a usuarios administrativos. Esto fue posible debido a la falta de verificación de permisos en el código relacionado con la verificación del estado actual de la copia de seguridad. Esto permitió la obtención de un identificador interno que de otro modo sería desconocido y luego podría usarse para pasar una verificación con el permiso de descarga.
Esto significa que si su sitio de WordPress permite que los usuarios que no son de confianza tengan un inicio de sesión de WordPress, y si tiene una copia de seguridad existente, entonces es potencialmente vulnerable a que un usuario técnicamente capacitado descubra cómo descargar la copia de seguridad existente. Los sitios afectados corren el riesgo de pérdida o robo de datos si el atacante accede a una copia de la copia de seguridad de su sitio, si su sitio contiene algo que no sea público. Digo «técnicamente calificado» porque en ese momento, no se ha realizado ninguna prueba pública de cómo aprovechar este exploit. En este momento, depende de que un pirata informático realice ingeniería inversa de los cambios en la última versión de UpdraftPlus para resolverlo. Sin embargo, ciertamente no debe confiar en que esto tarde mucho, sino que debe actualizarse de inmediato. Si usted es el único usuario en su sitio de WordPress, o si todos sus usuarios son de confianza, entonces no es vulnerable, pero aún así recomendamos actualizarlo en cualquier caso.
