Els investigadors de seguretat de WordPress van informar que es va trobar una fallada en el connector de WordPress OptinMonster que permetia als pirates informàtics penjar scripts maliciosos per atacar els visitants del lloc i conduir a les adquisicions completes del lloc. La no realització d’una comprovació bàsica de seguretat exposa més d’un milió de llocs a possibles esdeveniments de pirateria informàtica.
Falta de comprovació de la capacitat del punt final de REST-API
Aquesta vulnerabilitat no es deu a que els pirates informàtics siguin realment intel·ligents i trobin una manera intel·ligent d’explotar un complement de WordPress perfectament codificat. Tot el contrari.
Segons els investigadors de seguretat de la popular empresa de seguretat de WordPress Wordfence, l’explotació es va deure a una fallada en la implementació de l’API REST de WordPress al connector de WordPress OptinMonster que va provocar “control de capacitat insuficient.”
Anunci
Continueu llegint a continuació
Quan es codifica correctament, REST-API és un mètode segur per ampliar la funcionalitat de WordPress permetent que els connectors i els temes interactuïn amb un lloc de WordPress per gestionar i publicar contingut. Permet que un complement o tema interactuï directament amb la base de dades del lloc web sense comprometre la seguretat… si està correctament codificat.
La documentació REST-API de WordPress diu:
“… el més important que cal entendre sobre l’API és que permet l’editor de blocs i les interfícies de connectors modernes sense comprometre la seguretat o la privadesa del vostre lloc”.
Se suposa que la REST-API de WordPress és segura.
Malauradament, tots els llocs web que utilitzaven OptinMonster tenien la seva seguretat compromesa a causa de com OptinMonster va implementar l’API REST de WordPress.
Anunci
Continueu llegint a continuació
La majoria dels punts finals de l’API REST estan compromesos
Els punts finals de REST-API són URL que representen les publicacions i pàgines d’un lloc de WordPress que un complement o un tema pot modificar i manipular.
Però, segons Wordfence, gairebé tots els punts finals REST-API d’OptinMonster estaven codificats de manera incorrecta, cosa que comprometia la seguretat del lloc web.
Wordfence va criticar la implementació REST-API d’OptinMonster:
“… la majoria dels punts finals de l’API REST es van implementar de manera insegura, cosa que va fer possible que els atacants no autenticats accedeixin a molts dels diversos punts finals dels llocs que executen una versió vulnerable del connector.
… gairebé tots els altres punts finals de REST-API registrats al connector eren vulnerables a la derivació de l’autorització a causa d’una comprovació de capacitat insuficient que permetia als visitants no autenticats, o en alguns casos als usuaris autenticats amb permisos mínims, realitzar accions no autoritzades.
No autenticat significa un atacant que no està registrat de cap manera amb el lloc web atacat.
Algunes vulnerabilitats requereixen que un atacant estigui registrat com a subscriptor o col·laborador, cosa que dificulta una mica més atacar un lloc, especialment si un lloc no accepta registres de subscriptors.
Aquesta vulnerabilitat no tenia cap barrera, no era necessària cap autenticació per explotar OptinMonster, que és el pitjor dels casos en comparació amb les explotacions autenticades.
Wordfence va advertir sobre el dolent que podria ser un atac a un lloc web amb OptinMonster:
“…qualsevol atacant no autenticat podria afegir JavaScript maliciós a un lloc que executa OptinMonster, cosa que podria provocar que els visitants del lloc fossin redirigits a dominis externs i llocs maliciosos completament assumits en cas que s’afegeixés JavaScript per injectar nous comptes d’usuari administratiu o sobreescriure el complement. codi amb un intèrpret web per accedir a un lloc amb una porta posterior”.
Anunci
Continueu llegint a continuació
Curs d’acció recomanat
Wordfence va notificar als editors d’OptinMonster i uns deu dies després va publicar una versió actualitzada de l’OptinMonster que va tapar tots els forats de seguretat.
La versió més segura d’OptinMonster és la versió 2.6.5.
Wordfence recomana que tots els usuaris de l’OptinMonster actualitzin el seu connector:
“Recomanem que els usuaris de WordPress verifiquen immediatament que el seu lloc s’ha actualitzat a l’última versió pegada disponible, que és la versió 2.6.5 en el moment d’aquesta publicació”.
Ofertes de WordPress documentació sobre les millors pràctiques per a REST-API i afirma que és una tecnologia segura.
Aleshores, si se suposa que aquest tipus de problemes de seguretat no es produeixen, per què continuen passant?
Anunci
Continueu llegint a continuació
La documentació de WordPress sobre les millors pràctiques per a la REST-API indica:
“… permet l’editor de blocs i les interfícies de connectors modernes sense comprometre la seguretat o la privadesa del vostre lloc”.
Amb més d’un milió de llocs afectats per aquesta vulnerabilitat, cal preguntar-se per què, si existeixen les millors pràctiques, aquest tipus de vulnerabilitat es va produir al connector molt popular OptinMonster.
Tot i que això no és culpa del propi WordPress, aquest tipus de coses es reflecteixen negativament en tot l’ecosistema de WordPress.
Citació
Llegiu l’informe sobre OptinMonster a Wordfence
1.000.000 de llocs afectats per les vulnerabilitats d’OptinMonster
