El Patch Tuesday de Microsoft de Junio 2023, corrige múltiples vulnerabilidades
Como parte de las actualizaciones del “Patch Tuesday” del mes de junio de 2023, Microsoft implementó correcciones en su sistema operativo Windows y otros componentes de software para abordar fallas de seguridad críticas y altas.
Cabe mencionar que el Patch Tuesday de Microsoft no corrige ninguna vulnerabilidad de “Zero Day” ni errores de explotación activa, este parche proporciona actualizaciones de seguridad para 78 fallas, incluidas 38 vulnerabilidades de ejecución remota de código, lo que es un alivio para los administradores Windows.
Encabezando la lista de correcciones se encuentra:
- CVE-2023-29357 (CVSS 9,8), esta vulnerabilidad podría permitir que un atacante obtenga privilegios administrativos, mediante el escalamiento de privilegios en SharePoint Server.
- CVE-2023-29363, CVE-2023-32014 y CVE-2023-32015 (todas con puntaje CVSS 9.8), estas vulnerabilidades podrían permitir a un atacante realizar ejecución remota de código malicioso en Windows Pragmatic General Multicast (PGM).
- CVE-2023-28310 (CVSS de 8.0) y CVE-2023-32031 (CVSS de 8.8), permitirían la ejecución remota de código malicioso en productos de Exchange Server.
Productos y versiones afectadas
| Productos | Versiones |
| Microsoft SharePoint Server | SharePoint Server 2019 Server Subscription Edition en todas sus versiones. |
| Windows Pragmatic Multicast | Windows 10 y 11, Windows Server 2008 – 2022 20H2 |
| Microsoft Exchange Server | Exchange Server 2016 CU22 Nov22SU, Exchange Server 2019 RTM Mar21SU |
Microsoft también ha lanzado numerosas actualizaciones para Microsoft Office, estas mitigan a las vulnerabilidades que permitían a los atacantes usar documentos de Excel, Outlook y OneNote creados con fines maliciosos para realizar ejecución remota de código malicioso.
A continuación, se detalla las vulnerabilidades mencionadas:
- CVE-2023-33133 y CVE-2023-33137 (ambas con CVSS 7.8), para Excel.
- CVE-2023-33131 (CVSS 8.8), para Outlook.
- CVE-2023-33140 (CVSS 6.5) de tipo Spoofing en OneNote.
Las fallas de OneNote y Outlook requieren que un usuario haga clic en un enlace en el archivo o correo electrónico malicioso.
Recomendaciones
Se recomienda a los usuarios de Windows implementar las actualizaciones de seguridad lo antes posible.
– Ir a Inicio > Configuración > Actualización de Windows
– Hacer clic en “Buscar actualizaciones».
– Instalar las actualizaciones.
Referencias
Para mayor información sobre las vulnerabilidades descritas, consultar los siguientes enlaces:
- https://www.cybersecurity-help.cz/vdb/SB2023061350
- https://www.cybersecurity-help.cz/vdb/SB2023061355
- https://www.cybersecurity-help.cz/vdb/SB2023061341
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-33133
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-33137
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-33131
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-33140
- https://www.quorumcyber.com/threat-intelligence/patch-tuesday-june-2023/
- https://thehackernews.com/2023/06/microsoft-releases-updates-to-patch.html
- https://www.bleepingcomputer.com/news/microsoft/microsoft-june-2023-patch-tuesday-fixes-78-flaws-38-rce-bugs/
Falla crítica de RCE en los firewalls de Fortigate
Fortinet lanzó recientemente actualizaciones para solventar una vulnerabilidad que podría permitir la ejecución remota no autorizada de código en un dispositivo FortiGate con servicio VPN SSL.
La funcionalidad VPN SSL de FortiGate está en el centro de esta vulnerabilidad. Una VPN SSL es esencial para asegurar el acceso remoto a la red de una organización. Sin embargo, la explotación de esta vulnerabilidad podría comprometer este canal seguro con consecuencias catastróficas para la integridad de la seguridad de la red.
La vulnerabilidad crítica está registrada como CVE-2023-27997, la cual afecta la funcionalidad VPN SSL de Fortinet y se puede explotar sin credenciales inclusive si se encuentra activo la opción de multiple factor de autenticación (MFA). Esta falla, si se explota, podría permitir que un usuario no autorizado bloquee el dispositivo de forma remota y potencialmente ejecute código.
En la actualidad, sigue siendo incierto si la vulnerabilidad ha sido explotada por piratas informáticos. Sin embargo, la detección y respuesta rápidas demuestran la importancia de la vigilancia continua en la seguridad cibernética.
Producto y versiones afectadas
FortiGate/ FortiOs en sus versiones:
- 7.2.0 hasta 7.2.4
- 7.0.0 hasta 7.0.11
- 6.4.0 hasta 6.4.12
- 6.2.0 hasta 6.2.13
- 6.0.0 hasta 6.0.16
Solución
Actualizar de forma inmediata a las versiones de FortiOS que corrige la vulnerabilidad:
- 7.4.0 o superiores.
- 7.2.5 o superiores.
- 7.0.12 o superiores.
- 6.4.13 o superiores.
- 6.2.14 o superiores.
- 6.0.17 o superiores.
Recomendación
Se recomienda mantener el servicio SSLVPN limitado por regiones o IPs de confianza, en caso de no estar en uso el servicio SSLVPN desactivarlo.
Referencias
Para mayor información sobre la vulnerabilidad descrita, consultar los siguientes enlaces:
MalasLocker – Nuevo ransomware activo contra Zimbra
Un nuevo tipo de ataque de ransomware está comprometiendo servidores Zimbra con el propósito de sustraer correos electrónicos y encriptar archivos. Esta operación de ransomware, conocida como MalasLocker según BleepingComputer, comenzó a cifrar los servidores de Zimbra a fines de marzo de 2023. Víctimas de este ataque han reportado en los foros de BleepingComputer y Zimbra que sus correos electrónicos se encontraban encriptados.
Múltiples víctimas han reportado el descubrimiento de archivos JSP sospechosos que han sido cargados en las siguientes ubicaciones:
- /opt/zimbra/jetty_base/webapps/zimbra/
- /opt/zimbra/jetty/webapps/zimbra/public
Estos archivos fueron encontrados bajo distintos nombres, entre ellos:
- info.jsp
- noops.jsp
- heartbeat.jsp
- Startup1_3.jsp, identificado por BleepingComputer, se basa en un webshell de código abierto.
Al cifrar mensajes de correo electrónico, no se agrega ninguna extensión de archivo adicional al nombre del archivo. Sin embargo, el investigador de seguridad MalwareHunterTeam dijo que agregan un mensaje «Este archivo está encriptado, busque README.txt para obtener instrucciones de descifrado» al final de cada archivo cifrado.
No está claro en este momento cómo los actores de amenazas están violando los servidores de Zimbra pero se presumen que podría ser a través de la explotación de las vulnerabilidades CVE-2022-27924, CVE-2022-27925, CVE-2022-30333 y CVE-2022-37042.
Indicadores de compromiso
- SHA-256: 3f5a5f7d369edc3334897466aecc804983c6d61b037aab88e4f79cb1aaf75d83
- SHA-256: 47ecddbe356229c69c3e39a822fd28a900333b5622264e015fc414ec25bc7915
Recomendaciones
- Aplicar actualizaciones de seguridad.
- Realizar un escaneo en los sistemas que no hayan recibido actualizaciones para buscar IOC.
- Tener instalado EDR/AV en los equipos.
Referencias
- https://www.bleepingcomputer.com/news/security/malaslocker-ransomware-targets-zimbra-servers-demands-charity-donation/
- https://blog.segu-info.com.ar/2023/05/malaslocker-nuevo-ransomware-activo.html
- https://www.rapid7.com/db/vulnerabilities/zimbra-collaboration-cve-2022-30333/
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-37042
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-27925
- https://forums.zimbra.org/viewtopic.php?t=71867&start=20
Vulnerabilidad de acceso a archivos restringidos en App de Telegram para MacOS
Se reportó una vulnerabilidad en la aplicación de mensajería Telegram para MacOS, se registró como CVE-2023-26818, que contiene una puntuación CVSS reservada, se trata de una falla que podría permitir que un atacante obtenga acceso a la cámara web y al micrófono de una computadora.
Surgió debido a la capacidad de integrar una biblioteca dinámica de terceros (Dylib), haciendo que pase por alto las protecciones Hardened Runtime, que protege contra código malicioso y Entitlement la cual controla el acceso al micrófono, la cámara y otros componentes de la computadora. En MacOS no existe un requisito estricto para admitir Hardened Runtime en las aplicaciones, mientras que en iOS sí lo hay.
Productos afectados:
- Telegram App versión 9.3.1 para MacOS.
- Telegram App versión 9.4.0 para MacOS.
Soluciones:
- Actualizar Telegram la versión 9.4.1 o superior.
Recomendaciones:
- Mantener aplicación actualizada.
Referencias:
- https://mezha.media/en/2023/05/17/a-dangerous-vulnerability-in-telegram-remotely-activates-the-camera-and-microphone-on-macos/
- https://technewsspace.com/a-vulnerability-was-found-in-the-telegram-app-for-macos-that-allows-access-to-the-camera-and-microphone/
- https://meduza.io/en/news/2023/05/16/vulnerability-in-telegram-for-macos-lets-malware-access-user-mic-and-camera
- https://danrevah.github.io/2023/05/15/CVE-2023-26818-Bypass-TCC-with-Telegram/
Nueva vulnerabilidad afecta a FortiOS y FortiProxy
FortiGuard lanza parches de actualización para abordar una nueva vulnerabilidad que afecta a los productos FortiOS y FortiProxy.
La vulnerabilidad identificada como CVE-2023-22640 y con un puntaje CVSS de 7.1, es una falla de escritura fuera de los límites (out-of-bounds write) en sslvpnd de FortiOS y FortiProxy.
Esta vulnerabilidad al ser explotada exitosamente puede permitir que un atacante autenticado logre la ejecución de código arbitrario a través de solicitudes diseñadas específicamente.
Productos afectados
- FortiOS versión 7.2.0 a 7.2.3
- FortiOS versión 7.0.0 a 7.0.10
- FortiOS versión 6.4.0 a 6.4.11
- FortiOS versión 6.2.0 a 6.2.13
- FortiOS 6.0 todas las versiones
- FortiProxy versión 7.2.0 a 7.2.1
- FortiProxy versión 7.0.0 a 7.0.7
- FortiProxy todas las versiones 2.0, 1.2, 1.1, 1.0
Soluciones
- Actualice a FortiOS versión 7.4.0 o superior
- Actualice a FortiOS versión 7.2.4 o superior
- Actualice a FortiOS versión 7.0.11 o superior
- Actualice a FortiOS versión 6.4.12 o superior
- Actualice a FortiOS versión 6.2.14 o superior
- Actualice a FortiProxy versión 7.2.2 o superior
- Actualice a FortiProxy versión 7.0.8 o superior
Solución alterna
Deshabilite » Host Check», » Restrict to Specific OS Versions» y » MAC address host checking» en la configuración del portal sslvpn. Por ejemplo, para el portal sslvpn de » full-access»:
config vpn ssl web portal
edit «full-access»
set os-check disable
set host-check none
set mac-addr-check disable
end
Recomendaciones
- Implementar los últimos parches de actualización para protegerse de esta vulnerabilidad.
- En caso de no poder realizar las actualizaciones, implemente la solución alternativa hasta que pueda actualizar sus productos.
Referencias
- https://www.fortiguard.com/psirt/FG-IR-22-475
Google lanza nueva actualización para corregir otra vulnerabilidad de Zero Day en Chrome
Google lanza una nueva actualización de seguridad para el navegador web Chrome, ya que se detectó una segunda vulnerabilidad de Zero Day que está siendo explotada activamente.
La vulnerabilidad identificada como CVE-2023-2136 y de alta gravedad, aún no tiene asignado un puntaje CVSS. Google menciona que existe un exploit para aprovechar dicha vulnerabilidad.
CVE-2023-2136 es una falla de desbordamiento de enteros (integer overflow) de alta gravedad en Skia, una biblioteca de gráficos 2D multiplataforma de código abierto propiedad de Google escrita en C++.
Skia proporciona a Chrome un conjunto de API para renderizar gráficos, texto, formas, imágenes y animaciones, y se considera un componente clave de la canalización de renderizado del navegador.
Los errores de desbordamiento de enteros (integer overflow) ocurren cuando una operación da como resultado un valor que excede el máximo para un tipo de entero dado, lo que a menudo conduce a un comportamiento inesperado del software o tiene implicaciones de seguridad.
En el contexto de Skia, podría conducir a una representación incorrecta, corrupción de la memoria y ejecución de código arbitrario que conduce al acceso no autorizado al sistema.
Versiones afectadas
- Google Chrome versiones anteriores a la 112.0.5615.137
La actualización 112.0.5615.137 de Google Chrome corrige un total de 8 vulnerabilidades, la nueva versión solo está disponible para Windows y Mac. La empresa menciona que la versión para Linux se lanzará pronto.
Métodos de instalación
- Si tiene activada las actualizaciones automáticas, el parche de seguridad se actualizará la próxima vez que inicie el navegador sin intervención del usuario.
- Para realizar la actualización de Chrome manualmente, diríjase al menú de configuración del navegador (esquina superior derecha) y selecciones Ayuda > Acerca de Google Chrome. La actualización se realiza automáticamente, una vez finalizada debe reiniciar la aplicación.
Previamente, Google lanzó una actualización de emergencia de Chrome para corregir CVE-2023-2033, la primera vulnerabilidad explotada activamente en el navegador descubierta en 2023.
Recomendaciones
- Se recomienda que todos los usuarios de Chrome implementen la última actualización disponible lo antes posible.
Referencias
Cuatro errores de BIOS de Dell afectan a millones de dispositivos Inspiron, Vostro y Alienware.
Se revelan cuatro nuevas vulnerabilidades de seguridad en Dell BIOS, si se explotan con éxito, podrían conducir a la ejecución de código y leer ciertas secciones en sistemas vulnerables.
La primera vulnerabilidad, rastreada como CVE-2022-34401 (CVSS: 7.5), afecta a tres modelos Dell. Entre los modelos afectados con su respectiva remediación tenemos:
| Product | BIOS Update Version |
| Alienware m15 A6 | 1.4.3 |
| Alienware m17 Ryzen Edition R5 | 1.4.3 |
| Dell G15 5525 | 1.4.3 |
Dell BIOS contiene una vulnerabilidad de desbordamiento de búfer basada en pila. Un usuario malicioso autenticado localmente puede explotar potencialmente esta vulnerabilidad mediante el uso de un SMI (interrupción de administración del sistema) para enviar una entrada más grande de lo esperado a un parámetro para obtener la ejecución de código arbitrario en SMRAM.
La segunda vulnerabilidad, rastreada como CVE-2022-34399 (CVSS 5.1), es un agujero de seguridad que existe porque los módulos del BIOS tienen una falla de acceso al búfer, que un atacante con privilegios de administrador puede explotar potencialmente al enviar una entrada más grande de lo esperado para leer ciertas secciones. Entre los modelos afectados con su respectiva remediación tenemos:
| Product | Version | Product | Version |
| Alienware m15 A6 | 1.4.3 | Inspiron 3585 | 1.10.0 |
| Alienware m15 Ryzen Edition R5 | 1.8.0 | Inspiron 3595 | 1.5.0 |
| Alienware m17 Ryzen Edition R5 | 1.4.3 | Inspiron 3785 | 1.10.0 |
| Dell G15 5515 | 1.8.0 | Vostro 3405 | 1.9.0 |
| Dell G15 5525 | 1.4.3 | Vostro 3425 | 1.5.0 |
| Inspiron 3505 | 1.9.0 | Vostro 3515 | 1.9.0 |
| Inspiron 3515 | 1.9.0 | Vostro 3525 | 1.5.0 |
| Inspiron 3525 | 1.5.0 |
La tercera y cuarta de estas vulnerabilidades, rastreadas como CVE-2022-34393 y CVE-2022-34460 ambas con CVSS de 7.5 afectan a los modelos de portátiles Dell, contienen una vulnerabilidad de validación de entrada incorrecta en el que un atacante local autenticado puede explotar potencialmente esta falla mediante el uso de un SMI para obtener la ejecución de código arbitrario en SMRAM. Entre los modelos afectados con su respectiva remediación tenemos:
| Product | BIOS Update Version | Product | BIOS Update Version |
| Dell G5 SE 5505 | 1.12.1 | Inspiron 5415 | 1.12.0 |
| Inspiron 27 7775 | 2.17.0 | Inspiron 5485 | 2.10.1 |
| Inspiron 3180 | 1.5.0 | Inspiron 5485 2-in-1 | 2.10.1 |
| Inspiron 3185 | 1.5.0 | Inspiron 5505 | 1.8.1 |
| Inspiron 3195 2-in-1 | 1.5.0 | Inspiron 5515 | 1.12.0 |
| Inspiron 3275 | 1.9.1 | Inspiron 5585 | 2.10.1 |
| Inspiron 3475 | 1.9.1 | Inspiron 7375 | 1.9.0 |
| Inspiron 3505 | 1.8.0 | Inspiron 7405 2-in-1 | 1.9.1 |
| Inspiron 3515 | 1.7.0 | Inspiron 7415 | 1.12.0 |
| Inspiron 3585 | 1.9.0 | Vostro 3405 | 1.8.0 |
| Inspiron 3595 | 1.4.0 | Vostro 3515 | 1.7.0 |
| Inspiron 3785 | 1.9.0 | Vostro 5415 | 1.12.0 |
| Inspiron 5405 | 1.8.1 | Vostro 5515 | 1.12.0 |
Dell ya lanzó actualizaciones de BIOS para los dispositivos afectados.
Recomendaciones
- Actualizar el BIOS de los equipos a su última versión disponible lo antes posible.
Referencias
- https://securityonline.info/4-dell-bios-bugs-affect-millions-of-inspiron-vostro-alienware-devices/
- https://www.dell.com/support/kbdoc/en-us/000204679/dsa-2022-291-dell-client-security-update-for-dell-client-bios
- https://www.dell.com/support/kbdoc/en-us/000205329/dsa-2022-317-dell-client-security-update-for-dell-client-bios
- https://www.dell.com/support/kbdoc/en-us/000204686/dsa-2022-278-dell-client-security-update-for-dell-client-bios
Actualización de software de Git para evitar ataques de ejecución remota de código (RCE)
Los encargados del sistema de control de versiones del código fuente Git han emitido actualizaciones para corregir dos vulnerabilidades críticas que al ser explotadas permiten a un atacante realizar ejecución remota de código.
La primera vulnerabilidad rastreada como CVE-2022-41903 (CVSS 9.8) se puede explotar enviando una entrada especialmente diseñada, esta falla puede llegar a permitir a un atacante remoto ejecutar código arbitrario en el sistema.
Al procesar los operadores de relleno (ej. %<( , %<|( , %>( , %>>( , %><( ) podría ocurrir un desbordamiento de enteros en «pretty.c::format_and_pad_commit()» donde un “size_t” se almacena incorrectamente como un “int” y luego se agrega como un desplazamiento a una llamada memcpy() posterior.
También se puede activar indirectamente a través de «git archive» mediante el mecanismo «export-subst«, que expande los especificadores de formato dentro de los archivos que se encuentran en el repositorio durante un «git archive«.
La segunda vulnerabilidad rastreada como CVE-2022-23521 (CVSS 9.8) puede ser explota a través de un archivo “gitattributes”. Los actores de amenazas pueden enviar una entrada especialmente diseñada para aprovechar esta falla y ocasionar múltiples desbordamientos de enteros cuando hay una gran cantidad de patrones de ruta, una gran cantidad de atributos para un solo patrón o cuando los nombres de los atributos declarados son muy grandes, estos desbordamientos pueden dar lugar a la ejecución remota de código.
Ambas vulnerabilidades afectan a las mismas versiones y tienen sus respectivos parches.
| Versiones afectadas o inferiores | Versiones parcheadas |
| v2.30.6 | v2.30.7 |
| v2.31.5 | v2.31.6 |
| v2.32.4 | v2.32.5 |
| v2.33.5 | v2.33.6 |
| v2.34.5 | v2.34.6 |
| v2.35.5 | v2.35.6 |
| v2.36.3 | v2.36.4 |
| v2.37.4 | v2.37.5 |
| v2.38.2 | v2.38.3 |
| v2.39.0 | v2.39.1 |
Además de las dos vulnerabilidades críticas, también se corrigió una falla de alta gravedad rastreada como CVE-2022-41953 (CVSS 8.6) en la GUI de Git para Windows.
El problema específico de Windows implica una búsqueda de $PATH que incluye el directorio de trabajo actual, que se puede aprovechar para ejecutar código arbitrario al clonar repositorios con la GUI de Git
GitLab lanzó las versiones 15.7.5, 15.6.6 y 15.5.9 para GitLab Community Edition (CE) y Enterprise Edition (EE) para corregir los CVE-2022-41903 y CVE-2022-23521.
Recomendaciones
- Se recomienda a los usuarios de Windows, macOS y Linux/Unix que actualicen a la versión más nueva de git (v2.39.1).
- En caso de que no pueda actualizar a la última versión deshabilite «git archive» en repositorios que no son de confianza como una mitigación para CVE-2022-41903.
- Actualizar GitLab a la última versión lo antes posible.
Referencias
- https://thehackernews.com/2023/01/git-users-urged-to-update-software-to.html?m=1
- https://securityonline.info/cve-2022-41903-cve-2022-23521-critical-rce-flaws-in-git/
- https://about.gitlab.com/releases/2023/01/17/critical-security-release-gitlab-15-7-5-released/
- https://github.com/git/git/security/advisories/GHSA-475x-2q3q-hvwq
- https://github.com/git/git/security/advisories/GHSA-c738-c5qq-xg89
- https://nvd.nist.gov/vuln/detail/CVE-2022-41903
- https://nvd.nist.gov/vuln/detail/CVE-2022-23521
OptinMonster: La vía rápida para el código arbitrario en WordPress
Ha sido expuesta una vulnerabilidad para OptinMonster, para todas las versiones desde la 2.6.4 o inferiores.
El Plugin de WordPress ha sido afectado por una vulnerabilidad de alta severidad que permite el ingreso no autorizado a la API de un website con consecuencias dantescas como la divulgación de información sensible de millones de sitios en WordPress.
La vulnerabilidad, con el identificador CVE-2021-39341, fue descubierta el 28 de septiembre del 2021.
OptinMonster es uno de los plugins más populares de WordPress, entre sus funciones está convertir a los visitantes de un sitio web de visitantes a suscriptores o incluso clientes. La amenaza que conlleva esta vulnerabilidad nace de los API que se encuentran en los endpoints que permite integraciones sin fallas.
Sin embargo, la implementación de estos endpoint jamás ha sido muy segura y se presenta un caso crítco que es el de ‘/wp-json/omapp/v1/support’ endpoint.
Este endpoint puede revelar datos muy sensibles como el full path que se encuentra en un servidor, credenciales de APIs que son usadas para requerimientos en el sitio y más.
El atacante no tiene la necesidad de autenticarse en el sitio que desea atacar para acceder al API endpoint, con una solicitud HTTP podría realizar un bypass a la seguridad del sitio, para lanzar su ataque, debido a una de las funciones logged_in_or_has_api_key usadas llamada permissions_callback, si un requerimiento de un API endpoint tiene la cabecera Referer ajustada a https://wp.app.optinmonster.test y si la solicitud HTTP se colaca en OPTIONS la función retornará un «true», y de esta forma la seguridad sería vulnerable. Quién realice el ataque, siempre que conozca estos requerimientos y en la cabecera HTTP coloque X-HTTP-Method-Override para el método requerido en el REST-API endpoint (como podrían ser: GET o POST), para realizar con éxito la solicitud.
Con acceso a esta API endpoint, una vez que haya sido infectada por un código malicioso JavaScript, puede realizar cambios en las campañas que se están ejecutando en el sitio atacado.
No es el único Endpoint afectado
Pese a que ‘/wp-json/omapp/v1/support’ endpoint es el API objetivo de este ataque, todos las demás REST-API que se encuentran en este plugin son vulnerables. Los atacantes pueden cambiar configuraciones, ver datos de las campañas, activas y desactivar el debug mode, y mucho más.
¿Cómo solucionarlo?
En caso de que se encuentre usando este plugin debe actualizar de inmediato a la versión más reciente es la 2.6.6.
Recomendaciones
Las vulnerabilidades aparecen sin previo aviso, por eso sugerimos:
- Actualizar los plugins que se utilizan en el sitio web.
- Revisar los datos de sus campañas activas.
- Tomar acción en caso de notar actividad maliciosa en el sitio, o de presentarse sucesos no usuales.
- Tener un respaldo del sitio web.
Para más información visite
- https://www.bleepingcomputer.com/news/security/wordpress-plugin-bug-impacts-1m-sites-allows-malicious-redirects/
- https://therecord.media/wordpress-plugin-bug-lets-attackers-inject-code-into-vulnerable-sites/
- https://www.wordfence.com/blog/2021/10/1000000-sites-affected-by-optinmonster-vulnerabilities/
HashThemes Demo Importer: ¡El Plugin de WordPress que puede dejarte sin sitio web!
El día 25 de octubre del 2021 ha comenzado la divulgación a cargo de Wordfence acerca de la vulnerabilidad con el identificador CVE-2021-39333 que se encuentra asociada al plugin HashThemes Demo Importer.
Este plugin tiene, entre sus funcionalidades, que un usuario con los privilegios adecuados pueda resetear a valores predeterminados un sitio web por completo.
En la versión 1.1.2 del plugin se presentó la vulnerabilidad misma que permite a un atacante ganar acceso de manera arbitraria y borrar el contenido del sitio sin mayor problema.
El plugin presentaba un fallo al realizar las comprobaciones de permisos para realizar varias acciones AJAX. Si bien, realiza una verificación del nonce, el correspondiente al AJAX es visible en el dashboard para todos los usuarios, incluso para aquellos con privilegios muy bajos (como un suscriptor), esto tiene como una potencial consecuencia que un usuario con una cuenta de suscriptor pueda borrar el contenido del sitio web por completo.
Cualquier usuario autenticado podría provocar la función AJAX «hdi_install_demo» y cambiar el parámetro «reset» a «true», esto desencadenaba la función data_reset del plugin. Esta función borra toda la base de datos del sitio, truncando así toda tabla de la base de datos del sitio exceptuando wp_options, wp_users y wp_usermeta. Una vez que la base de datos es vaciada, el plugin corría la función clear_uploads, esta acción derivaba en la eliminación de todo archivo y carpeta existente en wp-content/uploads.
¿Cuál es la solución?
En caso de que su sitio web utilice este plugin, se debe actualizar de inmediato el plugin HashThemes Demo Importer a la versión 1.1.4. Dicha versión cuenta con un parche de seguridad que protege al usuario de esta vulnerabilidad.
Recomendaciones
- Se debe tener siempre un backup de nuestro sitio web, y de todas las operaciones sensibles de una compañía, pese a que la vulnerabilidad haya sido parchada en la posteridad se puede presentar nuevas vulnerabilidades asociadas a otros plugins de WordPress o, incluso, en este mismo plugin.