Durante las últimas tres semanas, un trío de vulnerabilidades críticas de día cero en los complementos de WordPress ha expuesto 160 000 sitios web a ataques que permiten a los piratas informáticos redirigir a los visitantes involuntarios a destinos maliciosos. Un proveedor de seguridad autoproclamado que reveló públicamente las fallas antes de que los parches estuvieran disponibles jugó un papel clave en la debacle, aunque también contribuyeron los retrasos de los desarrolladores de complementos y los administradores del sitio en la publicación e instalación de parches.
Durante la semana pasada, las vulnerabilidades de día cero en los complementos de WordPress Yuzo Related Posts y Yellow Pencil Visual Theme Customizer, utilizados por 60,000 y 30,000 sitios web respectivamente, han sido atacados. Ambos complementos se eliminaron del repositorio de complementos de WordPress en el momento en que se publicaron las publicaciones de día cero, lo que dejó a los sitios web sin más opciones que eliminar los complementos. El viernes (tres días después de que se revelara la vulnerabilidad), Yellow Pencil emitió un parche. En el momento en que se informó esta publicación, las publicaciones relacionadas con Yuzo permanecieron cerradas sin ningún parche disponible.
Hace tres semanas comenzaron las hazañas en estado salvaje contra Social Warfare, un complemento utilizado por 70.000 sitios. Los desarrolladores de ese complemento corrigieron rápidamente la falla, pero no antes de que los sitios que lo usaban fueran pirateados.
Estafas y sobornos en línea
Las tres oleadas de exploits provocaron que los sitios que usaban complementos vulnerables redirigiesen de forma subrepticia a los visitantes a sitios que promovían estafas de soporte técnico y otras formas de soborno en línea. En los tres casos, los exploits se produjeron después de que un sitio llamado Plugin Vulnerabilities publicara divulgaciones detalladas sobre las vulnerabilidades subyacentes. Las publicaciones incluían suficiente código de explotación de prueba de concepto y otros detalles técnicos para que sea trivial piratear sitios vulnerables. De hecho, parte del código utilizado en los ataques parecía haber sido copiado y pegado de las publicaciones de Vulnerabilidades de complementos.
A las pocas horas de que las vulnerabilidades del complemento publicaran las divulgaciones del tema visual Yellow Pencil y Social Warfare, las vulnerabilidades de día cero se explotaron activamente. Pasaron 11 días después de que las vulnerabilidades de los complementos eliminaran las publicaciones relacionadas con Yuzo de día cero para que se informaran las explotaciones en estado salvaje. No hubo informes de explotación de ninguna de las vulnerabilidades antes de las divulgaciones.
Las tres publicaciones de día cero de Plugin Vulnerabilities venían con un lenguaje repetitivo que decía que el autor anónimo las estaba publicando para protestar contra «los moderadores del continuo comportamiento inapropiado del foro de soporte de WordPress». El autor le dijo a Ars que solo trató de notificar a los desarrolladores después de que ya se publicaron los zerodays.
«Nuestra política de divulgación actual es divulgar por completo las vulnerabilidades y luego tratar de notificar al desarrollador a través del Foro de soporte de WordPress, aunque los moderadores allí… con demasiada frecuencia simplemente eliminan esos mensajes y no informan a nadie sobre eso», escribió el autor en un correo electrónico.
Según una publicación de blog del desarrollador de Social Warfare Warfare Plugins publicada el jueves, aquí está la línea de tiempo para el 21 de marzo, cuando las vulnerabilidades de los complementos eliminaron el día cero para ese complemento:
14:30 (aprox.): una persona no identificada publicó el exploit para que los piratas informáticos lo aprovecharan. No sabemos la hora exacta del lanzamiento porque el individuo ha ocultado la hora de publicación. Los ataques a sitios web desprevenidos comienzan casi de inmediato.
14:59 – WordPress descubre la publicación de la vulnerabilidad, elimina Social Warfare del repositorio de WordPress.org y envía un correo electrónico a nuestro equipo sobre el problema.
15:07 – De manera responsable y respetable, WordFence publica su descubrimiento de la publicación y la vulnerabilidad, sin dar detalles sobre cómo aprovechar el exploit.
15:43 – Cada miembro del equipo de Warfare Plugins se pone al día, se le dan instrucciones tácticas y comienza a tomar medidas sobre la situación en cada área respectiva: desarrollo, comunicaciones y atención al cliente.
16:21 – Se envió un aviso que dice que somos conscientes de la explotación, junto con instrucciones para desactivar el complemento hasta que se parchee. publicado en Twitter así como a nuestro sitio web.
17:37 – El equipo de desarrollo de Warfare Plugins realiza las confirmaciones finales de código para parchear la vulnerabilidad y deshacer cualquier inyección de script malicioso que estaba causando que los sitios fueran redirigidos. Comienzan las pruebas internas.
17:58 – Después de rigurosas pruebas internas y el envío de una versión parcheada a WordPress para su revisión, se lanza la nueva versión de Social Warfare (3.5.3).
18:04 – Correo electrónico a todos Guerra social – Pro se envía a los clientes con detalles de la vulnerabilidad e instrucciones sobre cómo actualizar inmediatamente.
Sin remordimientos
El autor dijo que revisó tanto Yuzo Related Posts como Yellow Pencil por seguridad después de notar que habían sido eliminados sin explicación del repositorio de complementos de WordPress y comenzó a sospechar. «Entonces, si bien nuestras publicaciones podrían haber llevado a la explotación, también [sic] posible que esté ocurriendo un proceso paralelo», escribió el autor.
El autor también señaló que pasaron 11 días entre la divulgación de Yuzo Related Posts zeroday y los primeros informes conocidos de que estaba siendo explotado. Esos exploits no habrían sido posibles si el desarrollador hubiera reparado la vulnerabilidad durante ese intervalo, dijo el autor.
Cuando se le preguntó si había algún remordimiento por los usuarios finales inocentes y los propietarios de sitios web que resultaron perjudicados por los exploits, el autor dijo: «No tenemos conocimiento directo de lo que están haciendo los piratas informáticos, pero parece probable que nuestras revelaciones podrían haber llevado a la explotación. Estas revelaciones completas se habrían detenido hace mucho tiempo si la moderación del Foro de soporte simplemente se hubiera limpiado, por lo que cualquier daño causado por esto podría haberse evitado, si simplemente hubieran aceptado limpiar eso».
El autor se negó a proporcionar un nombre o identificar las vulnerabilidades de los complementos, aparte de decir que era un proveedor de servicios que encuentra vulnerabilidades en los complementos de WordPress. «Estamos tratando de adelantarnos a los piratas informáticos, ya que nuestros clientes nos pagan para advertirles sobre las vulnerabilidades en los complementos que usan, y obviamente es mejor advertirles antes de que puedan haber sido explotados en lugar de después».
¿Vulnerabilidades del complemento Whois?
El sitio web de vulnerabilidades de complementos tiene un pie de página de derechos de autor en cada página que enumera White Fir Designs, LLC. Los registros de Whois para pluginvulnerabilities.com y whitefirdesign.com también enumeran al propietario como White Fir Designs de Greenwood Village, Colorado. Una búsqueda en la base de datos de negocios del estado de Colorado muestra que White Fir Designs fue incorporada en 2006 por alguien llamado John Michael Grillot.
El quid de la disputa del autor con los moderadores del foro de soporte de WordPress, según hilos como este, es que eliminan sus publicaciones y eliminan sus cuentas cuando revela vulnerabilidades no reparadas en foros públicos. Una publicación reciente en Medium dijo que estaba «prohibido de por vida», pero prometió continuar con la práctica indefinidamente usando cuentas inventadas. Publicaciones como esta muestran que la indignación pública de Plugin Vulnerabilities sobre los foros de soporte de WordPress se ha estado gestando desde al menos 2023.
Sin duda, hay mucha culpa para repartir en torno a hazañas recientes. Los complementos de WordPress enviados por voluntarios han representado durante mucho tiempo el mayor riesgo de seguridad para los sitios que ejecutan WordPress y, hasta ahora, los desarrolladores del CMS de código abierto no han descubierto una manera de mejorar la calidad lo suficiente. Además, a menudo los desarrolladores de complementos tardan demasiado en corregir las vulnerabilidades críticas y los administradores del sitio en instalarlas. La publicación de blog de Warfare Plugins ofrece una de las mejores disculpas por su papel en no descubrir la falla crítica antes de que fuera explotada.
Pero la mayor parte de la culpa recae, con mucho, en un proveedor de seguridad que se describe a sí mismo y que admite fácilmente que eliminó zerodays como una forma de protesta o, alternativamente, como una forma de mantener a los clientes seguros (como si el código de explotación fuera necesario para hacerlo). Sin disculpas ni remordimientos por parte del divulgador, por no mencionar una vertiginosa cantidad de complementos defectuosos y mal auditados en el repositorio de WordPress, no sería sorprendente ver más divulgaciones de día cero en los próximos días.
Esta publicación se actualizó para eliminar detalles incorrectos sobre White Fir Design.
