Vulnerabilidad en plugin de WordPress permite tomar control de tu sitio

Atención administradores de WordPress, sobre todo si tienes instalado en tu sitio el plugin WP GDPR Compliance.

Últimos anuncios destacan que piratas informáticos han explotado de manera masiva una vulnerabilidad sobre este plugin, la cual les permite instalar lo que comúnmente se conoce como backdoors (o puertas traseras) en las páginas creadas con WordPress a fin de obtener control del sitio.

Es importante mencionar que el plugin cuenta con una tasa de instalaciones activas superior a 105.000.

La principal característica del plugin es la de llevar el control de los procesos que ejecutan otros plugins relacionados con la captura de datos pertenecientes al usuario como, por ejemplo, formularios de contacto.

La alerta se dio a conocer por los analistas de soporte de WordPress, donde manifestaban la aparición de un plugin extraño instalado, tipo Autocode 2 Mb, el cual se encontraba activado sin el permiso de los administradores y que a su vez instalaba otro plugin que hacía las funciones de método de pago (Payload), funcionando como proceso de segundo plano.

Esto apunta, según diseñadores de WordPress, a un solo culpable el cual sería el plugin en cuestión conocido como WP GDPR Compliance, puesto que era el único plugin presente que tenían en común los sitios que estaban siendo vulnerables a los ataques.

 

¿Cómo afecta la vulnerabilidad de sobre este plugin de WordPress?

La dificultad de este tipo de ataques, es que no te das cuenta de la ejecución del mismo, a menos que administres constantemente tu sitio o trabajes en él frecuentemente. Hasta ese momento, ya habrías sido invadido con una variedad de malwares e incluso perdiendo el login administrador de tu cuenta de WordPress (además de poder tener tu sitio minando criptomonedas, sin que seas percatado de ello).

Otro síntoma que se presenta, es la de que cuando intentas acceder al panel administrador se hace un redireccionamiento hacia otra página bajo el dominio de erealitatea.net o hacia hxxps://pastebin[.]com/raw/V8svyu2p?, negándote el acceso al administrador de manera indefinida.

¿Cómo solucionar la vulnerabilidad de WP GDPR Compliance?

Para mitigar la amenaza, deben dirigirse al panel de administración de WordPress o desde el gestor de base de datos de PhpMyAdmin, e ir a la tabla wp-users donde posiblemente se encontrará un usuario llamado Troll. También debe intentarse eliminar la carpeta del plugin desde cualquier gestor de archivos.

Existe otro método para eliminar la redirección mencionada en este artículo, es decir, cuando al intentar autenticarse como administrador se nos redirige a otra página. Consiste en ubicar la tabla Wp_option de la base de datos, (algunos administradores pueden tener renombrada esta tabla con otro nombre). Esta tabla contiene un campo llamado siteurl, la cual almacena una dirección extraña que debería ser la de nuestro sitio web (debe editarse el registro y sustituir la dirección por la de nuestro sitio web). Por último, hay que dirigirse al blog y vaciar la caché, y de esta manera se podrá entrar al administrador del WordPress.

En última instancia se recomienda estrictamente a los administradores y propietarios de sitios webs con WordPress que actualicen este plugin de WP GDPR de la versión 1.4.2, la cual es la que presenta la vulnerabilidad, a la versión 1.4.3, donde según asegurar los creadores ya estaría solucionada esta vulnerabilidad.

Nueva campaña de phishing, malware Emotet

Emotet, es considerado como primos de los troyanos bancarios y ha sido mencionado en una alerta (TA18-201A) por el US-CERT. Es diseminado en diferentes campañas de spam en correo electrónico siendo estos denominados como correos altamente destructivos en Julio del presente año.

Se estima que Emotet, ha tenido un costo para el gobierno de aproximadamente un millón de dólares para poder solventar estos incidentes, ya que posee características troyanas polimórficas evadiendo así la detección basada en firmas.

Recientemente se ha detectado y reportado desde grandes compañías una nueva campaña de malspam (emails que contienen adjuntos o links maliciosos) utilizando este malware que por lo general tienen características legítimas ya que contienen logos, sellos y membretes de supuestas entidades que el usuario conoce. Estos tipos de mensajes, usualmente, son enviados desde empresas de confianza que anteriormente fueron infectadas por este malware.

Por esta razón, desde Yappó Security recomendamos mantenerse alerta y validar la veracidad de aquellos mails de clientes, proveedores u otras entidades conocidas si se cumplen las siguientes condiciones:

  • Recibe un mensaje que no estaba esperando.
  • El mensaje contiene un documento adjunto (Word, PDF, etc).
  • El asunto del mensaje está relacionado con vencimientos de pago, notificaciones de envío u otras gestiones administrativas.

Si recibe un mensaje con estas características, lo más seguro es contactarse con el remitente utilizando otra vía de comunicación para validar la autenticidad del mensaje.

Nueva vulnerabilidad descubierta en VirtualBox permite ejecución de código

El analista ruso Zelenyuk Sergey detectó una vulnerabilidad sobre las versiones de VirtualBox 5.2.20 y anteriores. Se destacó un escenario en donde había una alta posibilidad de intrusión dentro del sistema, saliéndose de la propia máquina virtual y obteniendo control sobre el sistema operativo que la controla.

Se ha desarrollado una prueba de concepto en la cual se verifica que la máquina virtual, a fin de explotar esta falla, debe estar conectada a la red mediante NAT a través de la tarjeta de red Intel PRO/1000 MT Desktop (82540EM).

Por la razón antes mencionada, se recomienda evitar configurar la red como NAT si es que su versión de VirtualBox se encuentra afectada por esta vulnerabilidad. Insistimos que el camino más óptimo que garantiza la seguridad de nuestra información es mantener actualizadas nuestras aplicaciones a últimas versiones.

Pueden consultar las versiones actuales en la página oficial.

Vulnerabilidad de ejecución de código en Cisco Webex

En los últimos días se ha detectado una vulnerabilidad en la plataforma de videoconferencias CISCO WEBEX. Mediante esta falla, cualquier usuario puede realizar ejecución de códigos remotamente por medio de un servicio tipo cliente de WEBEX, aun cuando esta aplicación no posee puertos abiertos para conexiones entrantes.

Esta vulnerabilidad fue hallada por Jeff Mcjunkin y Ron Bowes mientras realizaban pruebas de seguridad en este sistema. El equipo detectó un servicio denominado “WebexService”, que puede ser iniciado y detenido por cualquiera con permisos en el sistema.

El servicio cliente de WebexService no es iniciado de forma automática, se inicia en Windows cuando se requiere una actualización para WebEx. Para iniciar este servicio se utiliza una línea de comando sobre la cual se menciona el programa a ejecutar.

sc start webexservice a software-update 1 calc c d e f

Nótese que puede ejecutarse cualquier programa desde este servicio, por ejemplo, calc.exe. En adición, este programa también se ejecuta como administrador.

¿Cómo se explota una falla en forma remota cuando parece que no hay puertos remotos escuchando? El comando SC de Windows se utiliza para iniciar un servicio en una PC remota, con una línea de código como la siguiente.

c:\>sc \\10.0.0.0 start webexservice a software-update 1 net localgroup administrators userejemplo /add

El código o comando Sc requiere que la máquina remota posea al alcance el puerto de Windows 445, por lo que no sería de utilidad desde internet si este puerto se encuentra bloqueado en los dispositivos de seguridad.

La empresa Cisco ya ha resuelto este error en cuestión y se han publicado nuevas actualizaciones para WebEx. Es recomendable actualizar de forma rápida a las versiones de Cisco Webex Meetings Desktop App Release 33.6.0 o también a Cisco Webex Productivity Tools Release 33.0.5  o superiores.

Fuente: BleepingComputer

Fecha final para TLS 1.0 y 1.1. Navegadores dejarán de utilizarlo en 2020.

En los últimos días, grandes corporaciones del mundo tecnológico como Apple, Mozilla, Google, y Microsoft, han mencionado que eliminarán de sus navegadores la posibilidad de que las conexiones sean cifradas mediante el uso de los protocolos TLS 1.0 y 1.1. La fecha impuesta como ‘End of Life’ es para marzo del año 2020.

De esta forma, gran parte de las empresas aun en plataformas Legacy ya no podrán dejar relegadas la actualización de sus sistemas.

¿Qué dicen las principales corporaciones?

Apple menciona que cuentan con menos del 0.37% de conexiones en HTTPS conectados en Safari que tienen TLS 1.0 y TLS 1.1.

Google indica que solo el 0.61% de las consultas a sitios HTTPS realizadas en el navegador Chrome usan TLS 1.1 o también TLS 1.0.

Firefox tiene el mayor número de conexiones usando TLS 1.0 Y 1.1 con 1.28%, pero están conscientes de que es una minoría.

Y, por último, Microsoft revela que solamente el 0.73% de las conexiones hechas por Edge (que es el reemplazo de Internet Explorer en Windows 10) usan TLS 1.0 y 1.1.

Si desconoce si sus sitios soportan o no las nuevas versiones de TLS, recomendamos utilizar la herramienta online SSL Server Test de Qualys.

https://www.ssllabs.com/ssltest/

Vulnerabilidad en libssh permite bypass de autenticación

En las últimas horas se ha descubierto que LIBSSH, una librería o biblioteca de código escrita en el lenguaje de programación “C” el cual utiliza el protocolo SSH para comunicar e implementar diversas aplicaciones de características cliente-servidor, cuenta con una vulnerabilidad de gran importancia la cual las empresas deberían tomar conocimiento y actuar apropiadamente.

El fenómeno ha sido registrado con el código CVE-2018-10933, y funciona de la siguiente manera. Se envía el mensaje SSH2_MSG_USERRAUTH SUCCESS), en lugar de SSH2MSG_USERRAUTH_REQUEST. Esto permite la autenticación por el servidor sin colocar el usuario y contraseña, saltando los protocolos de seguridad.

En Internet, existen varias herramientas para buscar sistemas vulnerables, entre estas se encuentra Shodan. Su función es la de buscar cualquier tipo de servidor o dispositivo conectado a la red mundial. Este es un sitio web utilizado comúnmente por atacantes con el propósito de infiltrarse en redes de acceso público y vulnerabilidades.

 

Permite detectar dispositivos que poseen el puerto SSH (TCP/22) abierto en donde se encuentre implementada la librería libssh, es así como en cuestión de segundos se obtienen millones de servidores fáciles de explotar, que pueden verse altamente en riesgo, si disponen de esta falla. Según esta página, ya se ha detectado más de 3000 servidores con esta falta de seguridad.

Es de vital importancia mantener actualizada la última versión de las librerías libssh para bloquear esta falla de seguridad y, en lo posible, no exponer estos tipos de servicio hacia internet o restringir el acceso al servicio desde determinados puntos.

Mayor Seguridad en extensiones de Google Chrome

Google en un esfuerzo adicional por mantener un internet más seguro ha decidido publicar una serie de medidas de seguridad éste lunes que son bastante convenientes y una de ellas está directamente relacionada con su navegador Chrome, nos referimos a las “extensiones”.

Las extensiones o complementos son tremendamente populares, ya sea porque agregan funcionalidades o permiten ahorrar tiempo en consulta de información y aceleran procesos, es por ello que son un objetivo común para los ciberdelincuentes que han encontrado un nicho para explotar vulnerabilidades e implementar código malicioso.

Un aspecto que no ha quedado muy claro en las extensiones es la falta de transparencia en el código y esto se ha traducido en extensiones “infectadas” que pueden tomar ventaja de los recursos del equipo desde minar criptomonedas en segundo plano hasta lograr convencer a los usuarios a instalar o actualizar extensiones con código malicioso. Para detener esto, Google a través de James Wagner que es el gerente de producto de las extensiones de Chrome ha comunicado que: “La tienda web de Chrome no permitirá extensiones con código ofuscado” en un post en el Chromium Blog y ha tomado efecto inmediato.

Para tomar dimensiones correctas, en agosto del 2018 el navegador demostró tener una gran ventaja en el mercado de usuarios de escritorio con el 67.66%, en segundo lugar, se encuentra Mozilla Firefox con solo el 10.96% mientras que el resto de la partida se la quedan Internet Explorer con el 6.97%, Safari con el 5.13% y Microsoft Edge con el 4.24% respectivamente.

Existen alrededor de 180,000 extensiones disponibles en la Chrome Web Store y un sinfín más que hasta la fecha pueden ser descargadas desde otros sitios y no directamente de la tienda de Chrome permitiendo a los usuarios instalarlas poniéndolos en riesgo, por ello hace poco se deshabilitaron las instalaciones en línea para las extensiones existentes, lo que significa que si tienes extensiones instaladas en Chrome desde sitios web de terceros, te redirigirá automáticamente a la Chrome Web Store para completar la instalación, siendo esto una especie de candado que genera confianza y seguridad del origen.

Y es que ocurre que la mayoría de los desarrolladores prestan poca o nula atención a la seguridad a la hora de crear una extensión e implementarla.

Con la próxima actualización de Google Chrome 70 se vienen los siguientes cambios:

  • Control del usuario para permisos: Los usuarios podrán controlar como y cuando la extensión de Chrome controlará los datos, restringir el acceso en una lista personalizada de sitios y hasta configurarlas para que sea necesario un clic para brindar acceso a la página web.
  • Cambios en el proceso de revisión de extensiones: Aquellas extensiones que soliciten permisos avanzados serán sujetas a una revisión adicional para cumplimentar las nuevas políticas, así como un análisis detallado a aquellas extensiones que utilizan código alojado remotamente con monitoreo continuo.
  • Legibilidad del código: Chrome Web Store ya no permite extensiones con código ofuscado. Esta nueva política se aplica de manera inmediata a todas las nuevas versiones o extensiones para su aprobación en la tienda. En caso de que una extensión lo tuviese el desarrollador tendrá hasta 90 días para removerlo.

Y para Google Chrome 71, que saldrá en enero del 2019:

  • Identificación en dos pasos (two-factor verification): Esto aplicará para las cuentas de desarrollador de la Chrome Web Store debido a los múltiples ataques de tipo phishing que buscan robar cuentas para actualizar extensiones con código malicioso.
  • Cambios en Manifest v3: Google dará a conocer la nueva versión de este regulador para extensiones (manifest.json) el cual proveerá mayor seguridad, privacidad y promete mejorar el rendimiento.

Recomendamos tener activadas las actualizaciones automáticas del navegador para obtener estos beneficios de seguridad.

Fuga de información en servicios Cloud

Recientemente se ha dado a conocer una brecha de seguridad que permitía a cualquier persona acceder a información confidencial de la Organización de las Naciones Unidas.

Entre la información expuesta se encuentran contraseñas, documentos internos y detalles técnicos de aplicaciones que se encontraban almacenadas en servicios Cloud como la herramienta de gestión de proyectos Trello y la suite de aplicaciones de Google Docs.

Las configuraciones realizadas en estas plataformas no eran las apropiadas para información clasificada como confidencial. Cualquier usuario podía acceder a la información con solo poseer la URL correcta, la cual es de fácil acceso utilizando algunas técnicas de búsqueda en Google.

Aquí es importante entender la importancia de la seguridad en servicios en la nube que están en auge al día de hoy y que poco a poco se van desarrollando en países emergentes.

Antes de avanzar con la contratación de un servicio en la nube se recomienda realizar una evaluación exhaustiva para determinar si el servicio se ajusta a nuestras políticas internas y a la necesidad de cumplir con las normativas vigentes.

Realizar un relevamiento acerca de qué tipo de información se estará almacenando en estos servicios se considera una excelente práctica. Los servicios del tipo Cloud más conocidos cuentan con características específicas para proteger información sensible (por ejemplo, números de tarjeta, PPI, PHI, información contable, etc.). Se recomienda evaluar los diferentes tipos de suscripciones que estos servicios ofrecen y que características de seguridad se adicionan en cada uno de ellos.