Es va descobrir que un popular connector anti-programari maliciós de WordPress tenia una vulnerabilitat reflectida de scripting entre llocs. Aquest és un tipus de vulnerabilitat que pot permetre a un atacant comprometre un usuari de nivell administrador del lloc web afectat.
Connector de WordPress afectat
El connector que s’ha descobert que conté la vulnerabilitat és Anti-Malware Security i Brute-Force Firewall, que és utilitzat per més de 200.000 llocs web.
Anti-Malware Security i Brute-Force Firewall és un connector que defensa un lloc web com a tallafoc (per bloquejar les amenaces entrants) i com a escàner de seguretat, per comprovar si hi ha amenaces de seguretat en forma de pirates de porta posterior i injeccions de bases de dades.
Una versió premium defensa els llocs web dels atacs de força bruta que intenten endevinar contrasenyes i noms d’usuari i protegeix contra atacs DDoS.
Vulnerabilitat reflectida de scripting entre llocs
S’ha trobat que aquest connector contenia una vulnerabilitat que permetia a un atacant llançar un atac reflectit Cross-Site Scripting (XSS reflectit).
En aquest context, una vulnerabilitat d’scripting entre llocs reflectida és aquella en què un lloc web de WordPress no limita correctament el que es pot introduir al lloc.
Aquesta manca de restringir (desinfectar) el que s’està penjant és essencialment com deixar la porta principal del lloc web desbloquejada i permetre que es carregui pràcticament qualsevol cosa.
Un pirata informàtic aprofita aquesta vulnerabilitat carregant un script i fent que el lloc web el reflecteixi.
Quan algú amb permisos de nivell d’administrador visita un URL compromès creat per l’atacant, l’script s’activa amb els permisos de nivell d’administrador emmagatzemats al navegador de la víctima.
L’informe de WPScan sobre la seguretat anti-malware i el tallafoc de força bruta descriu la vulnerabilitat:
“El connector no desinfecta i escapa del QUERY_STRING abans de tornar-lo a enviar a una pàgina d’administració, la qual cosa condueix a una seqüència d’ordres entre llocs reflectits als navegadors que no codifiquen caràcters”
La base de dades nacional de vulnerabilitats del govern dels Estats Units encara no ha assignat a aquesta vulnerabilitat una puntuació de nivell de gravetat.
La vulnerabilitat d’aquest connector s’anomena vulnerabilitat Reflected XSS.
Hi ha altres tipus de vulnerabilitats XSS, però aquests són tres tipus principals:
- Vulnerabilitat de scripting entre llocs emmagatzemats (XSS emmagatzemat)
- Blind Cross-site Scripting (Blind XSS)
- XSS reflectit
En un XSS emmagatzemat una vulnerabilitat Blind XSS, l’script maliciós s’emmagatzema al propi lloc web. En general, es consideren una amenaça més gran perquè és més fàcil aconseguir que un usuari de nivell d’administrador active l’script. Però aquests no són els que es van descobrir al connector.
En un XSS reflectit, que és el que es va descobrir al connector, s’ha d’enganyar a una persona amb credencials de nivell d’administrador perquè faci clic en un enllaç (per exemple, des d’un correu electrònic) que després reflecteix la càrrega útil maliciosa del lloc web.
El projecte de seguretat d’aplicacions web obertes (OWASP) sense ànim de lucre descriu un XSS reflectit com aquest:
“Els atacs reflectits són aquells en què l’script injectat es reflecteix al servidor web, com ara un missatge d’error, un resultat de cerca o qualsevol altra resposta que inclogui part o tota l’entrada enviada al servidor com a part de la sol·licitud.
Els atacs reflectits s’envien a les víctimes a través d’una altra via, com ara un missatge de correu electrònic o en algun altre lloc web”.
Es recomana l’actualització a la versió 4.20.96
En general, es recomana tenir una còpia de seguretat dels fitxers de WordPress abans d’actualitzar qualsevol complement o tema.
La versió 4.20.96 del complement de WordPress de seguretat anti-malware i tallafocs de força bruta conté una solució per a la vulnerabilitat.
Es recomana als usuaris del connector que considerin actualitzar el seu connector a la versió 4.20.96.
Citacions
Llegiu els detalls de la base de dades de vulnerabilitats dels Estats Units
Llegiu l’informe WPScan sobre la vulnerabilitat
Llegiu el registre de canvis oficial que documenta la versió fixa
Registre de canvis de seguretat anti-malware i tallafocs de força bruta
