Se descubrió que un complemento antimalware popular para WordPress tiene una vulnerabilidad entre sitios. Este es un tipo de vulnerabilidad que podría permitir a un atacante atacar a un usuario a nivel de administrador del sitio afectado.
Contenido del Articulo
Complemento de WordPress influenciado
El complemento que contiene la vulnerabilidad es Anti-Malware Security y Brute-Force Firewall, que utilizan más de 200 000 sitios web.
Anti-Malware Security and Brute-Force Firewall es un complemento que defiende un sitio web como un firewall (para bloquear las amenazas entrantes) y como un escáner de seguridad para controlar las amenazas de seguridad en forma de infracciones de puerta trasera y entradas de bases de datos.
Una versión premium protege los sitios web de ataques de fuerza bruta que intentan adivinar contraseñas y nombres de usuario y protege contra ataques DDoS.
Refleja la vulnerabilidad de secuencias de comandos entre sitios
Se descubrió que este complemento contenía una vulnerabilidad que permitía a un atacante lanzar un ataque de secuencias de comandos entre sitios reflejados (XSS reflejado).
Una vulnerabilidad de secuencias de comandos reflejada entre sitios en este contexto es aquella en la que un sitio de WordPress no restringe adecuadamente los elementos que se pueden insertar en el sitio.
Esta falla en restringir (desinfectar) lo que se está descargando es esencialmente como dejar la puerta principal del sitio abierta y permitir que se descargue casi cualquier cosa.
Un hacker aprovecha esta vulnerabilidad cargando un script y colocando el sitio para reflejarlo.
Cuando alguien con permisos de nivel de administrador visita una URL comprometida creada por el atacante, el script se activa con los permisos de nivel de administrador almacenados en el navegador de la víctima.
El informe de WPScan sobre seguridad antimalware y cortafuegos de fuerza bruta describió la vulnerabilidad:
“El complemento no desinfecta ni escapa a QUERY_STRING antes de redirigirlo a una página de administración, lo que genera un script reflexivo entre sitios en navegadores que no codifican caracteres”
La base de datos nacional de vulnerabilidades del gobierno de los Estados Unidos aún no ha asignado una clasificación de gravedad a esta vulnerabilidad.
La vulnerabilidad de este complemento se denomina vulnerabilidad XSS reflejada.
Existen otros tipos de vulnerabilidades XSS, pero estos son los tres tipos principales:
- Vulnerabilidad de secuencias de comandos almacenadas entre sitios (XSS guardado)
- Scripting ciego entre sitios (Blind XSS)
- XSS reflejado
En una vulnerabilidad XSS guardada, Blind XSS, el script malicioso se almacena en el propio sitio. Estos generalmente se consideran una amenaza mayor porque es más fácil persuadir a un usuario de nivel administrador para que active el script. Pero estas no son las especies descubiertas en el aditivo.
En un XSS reflejado, que es lo que se descubrió en el complemento, se debe engañar a una persona con credenciales de nivel de administrador para que haga clic en un enlace (por ejemplo, desde un correo electrónico) que luego refleja la carga maliciosa del sitio web.
El Proyecto de seguridad de aplicaciones web abiertas (OWASP) sin fines de lucro describe un XSS reflejado de la siguiente manera:
“Los ataques reflejados son aquellos en los que el servidor web refleja la secuencia de comandos ingresada, como un mensaje de error, un resultado de búsqueda o cualquier otra respuesta que incluya parte o la totalidad de las entradas enviadas al servidor como parte de la solicitud.
“Los ataques reflejados se entregan a las víctimas a través de otra ruta, como un correo electrónico u otro sitio web”.
Se recomienda actualizar a la versión 4.20.96
En general, se recomienda que haga una copia de seguridad de sus archivos de WordPress antes de actualizar cualquier complemento o tema.
La versión 4.20.96 del complemento de WordPress Anti-Malware Security y Brute-Force Firewall contiene una corrección de vulnerabilidad.
Se recomienda a los usuarios del complemento que consideren actualizar el complemento en la versión 4.20.96.
Referencias
Lea los detalles de la base de datos de vulnerabilidades de Estados Unidos
CVE-2022-0953 Detalle
Lea el informe de vulnerabilidad de WPScan
Seguridad antimalware y cortafuegos de fuerza bruta <4.20.96: secuencias de comandos reflejadas entre sitios
Lea el archivo oficial de cambios que documenta la versión corregida
Seguridad antimalware y cortafuegos Changeall de fuerza bruta
