Una vez más… blogs en WordPress crackeados
Publicado el Miércoles 04 de Junio del 2008 @ 14:29 por Armonth.
- 12
- 0
Comentar
Entre elegir la estable (aunque no al día y hay que vigilar vulnerabilidades a mano) rama 2.0.x o la nueva y continuamente actualizada rama 2.5.x la mayoría elige la segunda.
Pero pese a ello, se siguen sin actualizar los blogs a tiempo, se descubre una vulnerabilidad que permite inyectar código oculto en una imagen GIF y ser cargado como si un plugin fuera.
El resultado: muchos blogs al recibir una visita desde Google redireccionan al visitante a your-needs (punto) info. Aunque en teoría la vulnerabilidad debería estar corregida en WordPress 2.5.1 no está del todo claro y no creo que se pueda descartar otras maneras de inyectar el código.
Algunos sitios afectados son parte de BlogsFarm, MarlexSystems y vseo parece que también fue afectado.
A estas horas Google está devolviendo pocos resultados pero ayer al buscar por la primera línea del código malicioso ( <?php /*?#?#,,sess,GFjdD0i ) devolvía casi trescientas copias del fichero… en blogs afectados.
12 Comentarios
-
Carlos Rincón:
Google ya no devuelve nada buscando eso.
Cada día odio más a wordpress y estoy más convencido que sólo se puede tener un CMS para todos los proyectos así se puede estar más al día de las vulnerabilidades y si puede ser que el CMS sea multisite, por ejemplo Drupal.
-
IBcmass:
En breve sonará alguna actualización, y esperemos que pronto, aunque en los blogs que tenemos por IBCmass utilizamos otros CMS.
-
Koki:
El problema con Drupal es que sin los plugins no es muy útil y justamente los plugins son el dolor de cabeza: algunos dejan de mantenerse y no son compatibles con las nuevas versiones de Drupal, otros están mal programados y son vulnerables, etc.
así, puede que Drupal sea sólido, pero el punto débil son los plugins de terceros.
-
Marlex Systems:
He publicado un parche temporal que se encuentra en el Foro de soporte al que enlazaste. Es lo más simple hasta el momento.
Saludos!
-
alex:
No es una nueva vulnerabilidad, porque hasta yo hablé de eso en [1]. Sin embargo, para que esto (inicialmente) funcione en un blog común y corriente, es necesario que el atacante tenga privilegios de administrador y mínimamente pueda subir archivos.
Ahora, la forma como obtuvieron ese acceso en los blogs que comentas, probablemente se deba a algún otro problema de seguridad que puede ser o no de WordPress.[1] http://www.buayacorp.com/files/wordpress/wordpress-mu-options-overwrite.html
-
Federico:
Una pregunta, las versiones anteriores como la 2.3.3 por ejemplo, se sigue actualizando para corregir estos problemas de seguridad? … vale la pena que me baje lo ultimo que tienen de esa versión en el repositorio y parchee mi blog?
Aun no me pase a la nueva version por falta de tiempo y ganas de andar chequeando que todos los plugins funcionen. Creo que cuando lo haga voy a tratar de habilitar la menor cantidad de plugins posible, sino es un dolor de cabeza esto :S
Saludos.
-
Armonth:
Alex ¿estamos hablando de la misma? Porque de las últimas que he visto, varias son fallos que en principio permiten inyecciones SQL y subir imágenes vía el nuevo uploader… todo ello pasándose los permisos por el forro…
-
Héctor, me parece que es la misma por:
Pero pese a ello, se siguen sin actualizar los blogs a tiempo, se descubre una vulnerabilidad que permite inyectar código oculto en una imagen GIF y ser cargado como si un plugin fuera.
Para que suceda lo que está resaltado en negrita, es necesario modificar el contenido de la opción active_plugins y eso, hasta donde sé, sólo se puede hacer si tienes los permisos adecuados (ya sea teniendo la posibilidad de editar/subir archivos y/o la capacidad de modificar las opciones de WP).
No sé a que vulnerabilidades te refieres, pero hace tiempo que no escucho de ningún problema de SQL Injection en el “core” ¿podrías darme la url donde leer al respecto?
Por lo que sé, existen todavía algunos problemas de seguridad para los que todavía no hay solución, pero por las características del ataque que sufrieron esos blogs que mencionas, me parece que éstas no tienen nada que ver.
-
No sigo al dedillo las vulnerabilidades en la rama 2.5.x así que es bastante posible que si sólo te suena esa tengas razón.
Si no recuerdo mal la opcion de active_plugins estaba en MySQL ¿no? De ahí lo de la inyección, lo cual no me parecería raro ya que últimamente corren rumores de un nuevo 0-day respecto a eso (o sin ser 0-day pero sin ser notificado vía trac).
Lo que tengo claro es que seguramente haya una 2.5.2 pronto, y más si me confirmas que quedan problemas por solucionar…
-
g30rg3_x:
mmm…
Bueno en la versión 2.5.1 si existen vulnerabilidades de seguridad, muy pequeñitas y pasan desapercibidas entre tanto ticket de trac, su riesgo es muy bajo y su explotación requiere un poco de maña así que estas quedan descartadas puesto que una explotación en masa se dice un de un fallo de mayor riesgo que las que están resueltas en la 2.5.2.
Sobre el rumor de una inyección SQL, sinceramente cada vez que algún blogger saca su mensaje de “me hackearon mi blog/wordpress” la comunidad lo primero que apunta hoy en dia es una inyeccion SQL y pues empieza el juego del “Telefono descompuesto” .
Hoy en día el equipo de desarrollo de WordPress ha tomado ya serias cartas sobre este tan común error, tanto así que existen algunos casos en que la información no necesita ser sanitizada y aun así esta siendo sanitizada, aunque claro tenemos aun por ahí el ataque a través de codificaciones de caracteres esta misma se limita a un escenario muy especifico/concreto.Aunque bueno yo primero miraría los plugins de los blogs afectados antes de pensar en que la culpa la tiene WP en si, pero por lo pronto me guardo mi pronostico/opinion para la salida de la 2.5.2.
Saludos Armonth
-
Feilfer:
Wordpress cada vez que sacan una nueva versión lo hacen más bonito (supuestamente), pero descuidan los aspectos de seguridad… :S
-
polo:
Muy buen articulo .!!!