Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
2020
(Total:
212
)
-
▼
septiembre
(Total:
21
)
- El ransomware llega a las máquinas de café: cafete...
- Ransomware AgeLocker afecta dispostivos QNAS no ac...
- Red hospitales Universal Health Services (UHS) ata...
- Rusia quiere prohibir el uso de protocolos seguros...
- Corregida vulnerabilidad ejecución remota de códig...
- Filtrado el código fuente de Microsoft Windows XP ...
- Antiguo televisor provoca cortes en la conexión a ...
- Comandos, herramientas y opciones para reparar sis...
- Adolescente de Florida de 16 años arrestado por re...
- Crackers llevan un año intentando abrir una carter...
- Exploits vulnerabilidad crítica ZeroLogon en Windo...
- Microsoft corrige 129 vulnerabilidades de segurida...
- SegurCaixa Adeslas víctima de un ataque de ransonw...
- Grave vulnerabilidad RCE en plugin File Manager de...
- Banco de Estado Chileno víctima ataque ransomware ...
- Dirección Nacional de Migraciones de Argentina afe...
- Repartidores de Amazon cuelgan teléfonos en los ár...
- Ataque ransomware al hospital Moisès Broggi de San...
- Nvidia presenta segunda generación de tarjetas GeF...
- Fallo de seguridad permite saltarse la confirmació...
- El CNI investiga el hackeo de los móviles de vario...
-
▼
septiembre
(Total:
21
)
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Grave vulnerabilidad RCE en plugin File Manager de WordPress
martes, 8 de septiembre de 2020
|
Publicado por
el-brujo
|
Editar entrada
Días después de conocerse la vulnerabilidad zero-day que afecta al
plugin File Manager para WordPress, se registraron millones de ataques a
sitios que intentan explotar el fallo. Se recomienda actualizar cuanto
antes.
Están explotando activamente una vulnerabilidad crítica de ejecución remota de código en el complemento File Manager, más de 300.000 sitios de WordPress potencialmente expuestos.
El 1 de septiembre se conocía la noticia de que atacantes estaban explotando de manera activa una vulnerabilidad zero-day crítica en la versión 6.8 y anteriores del plugin File Manager para WordPress, así como las versiones Pro desde la 7.6 a la 7.8. La vulnerabilidad permite a usuarios no autenticados ejecutar código de manera remota y subir archivos maliciosos en sitios que tuvieran una versión desactualizada de este plugin.
Según explica el equipo de Seravo, “un atacante que explote la vulnerabilidad puede robar datos privados, destruir el sitio o utilizarlo para realizar otros ataques en otros sitios o su infraestructura”. Por suerte, los desarrolladores de este plugin, que al momento de conocerse el fallo contaba con más de 700.000 instalaciones activas, lanzaron rápidamente la actualización 6.9 de este plugin que repara el fallo.
Sin embargo, el pasado viernes 4 de septiembre, el equipo de Wordfence informó que detectó un incremento dramático en la cantidad de ataques intentando explotar el fallo en sitios que no han instalado la última versión del plugin. Según sus datos, desde que se explotó la vulnerabilidad por primera vez hasta el pasado 4 de septiembre se registraron 1.7 millones de ataques a sitios, y aquellos que no tienen instalado este plugin están siendo revisados por bots que buscan detectar versiones vulnerables del plugin File Manager”, explicó la compañía. Pero tal como aclara Wordfence, sus registros se basan en 3 millones de sitios WordPress que protegen, por lo tanto, la verdadera escala de estos ataques es aún mayor que lo que indican sus registros.
Según explicó en su blog Sucuri, otra de las compañías que analizó el fallo, el 31 de agosto registraron un promedio de 1.500 ataques por hora que intentaban explotar la vulnerabilidad, y un día después, cuando se lanzó la actualización, el promedio de ataques por hora subió a 2.500, mientras que el 2 de septiembre registraron picos de más de 10.000 ataques por hora. A su vez, la compañía considera que “la explotación del fallo creció de forma rápida debido a su alto impacto y a los bajos requerimientos”.
Según los datos estadísticos que se muestran en el sitio de WordPress de File Manager, apenas el 21.3% de los sitios que tienen instalado este plugin están corriendo la versión 6.9 que incluye el parche, por lo tanto, todavía existe una gran cantidad de sitios vulnerables.
La única buena noticia es que solo el 51,5% (aproximadamente 300K + sitios web)) de todos los sitios que ejecutan el complemento File Manager tienen una versión vulnerable.
Algunas víctimas de la explotación de esta vulnerabilidad explican en el foro de soporte de WordPress que tras verse afectados por uno de estos ataques su sitio fue utilizado para redirigir a los usuarios a otras páginas.
Recomendamos a aquellos responsables de sitios en WordPress que utilicen este plugin que actualicen cuanto antes a la última versión disponible y en caso de verse afectados que sigan las instrucciones que dejaron los desarrolladores de File Manager.
Affected Plugin: File Manager
Plugin Slug: wp-file-manager
Affected Versions: 6.0-6.8
CVSS Score: 10.00 (Critical)
CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Patched Versions: 6.9
El núcleo del problema comenzó con el complemento del Administrador de archivos que cambió el nombre de la extensión en el archivo connector.minimal.php.dist de la biblioteca elFinder a .php para que pudiera ejecutarse directamente, aunque el administrador de archivos no usara el archivo del conector. Estas bibliotecas a menudo incluyen archivos de ejemplo que no están pensados para usarse "tal cual" sin agregar controles de acceso, y este archivo no tiene restricciones de acceso directo, lo que significa que cualquiera puede acceder al archivo. Este archivo podría usarse para iniciar un comando elFinder y estaba conectado al archivo elFinderConnector.class.php
Cualquier parámetro enviado en una solicitud a connector.minimal.php sería procesado por la función run () en el archivo elFinderConnector.class.php, incluido el comando que se proporcionó en el parámetro cmd.
El archivo lib/php/connector.minimal.php se puede abrir directamente de forma predeterminada y este archivo carga lib/php/elFinderConnector.class.php que lee las variables POST / GET y luego permite ejecutar algunas funciones internas, como cargar archivos. PHP está permitido, por lo que esto conduce a la carga de archivos arbitrarios no autenticados y la ejecución remota de código.
La buena noticia es que elFinder tiene protección incorporada contra el cruce de directorios, por lo que un atacante no podría usar ninguno de estos comandos en ningún archivo fuera del directorio plugins
Peticiones del tipo
La vulnerabilidad fue descubierta por primera vez por Gonzalo Cruz de Arsys, el investigador también confirmó que los actores de amenazas ya están explotando la falla para cargar archivos PHP maliciosos en sitios vulnerables.
Cruz compartió sus hallazgos con la empresa de seguridad de WordPress Wordfence y le proporcionó una prueba funcional de explotación del concepto para la falla.
Wordfence confirmó el ataque en curso, su Web Application Firewall ya bloqueó más de 450.000 intentos de explotación durante los últimos días.
“A partir de los datos de ataque de nuestro firewall, parece que los atacantes pueden estar investigando la vulnerabilidad con archivos vacíos y, si tienen éxito, pueden intentar inyectar un archivo malicioso. Aquí hay una lista de algunos de los archivos que estamos viendo cargados:
Los expertos de Wordfence confirmaron que los actores de amenazas están intentando cargar archivos PHP con webshells ocultos dentro de imágenes en la carpeta
El complemento solo se ha descargado un poco más de 126,000 veces en los últimos días, lo que significa que al menos 574,000 sitios de WordPress están potencialmente expuestos.
Fuentes:
https://www.welivesecurity.com/la-es/2020/09/07/wordpress-ataques-sitios-utilizan-plugin-file-manager/
https://www.wordfence.com/blog/2020/09/700000-wordpress-users-affected-by-zero-day-vulnerability-in-file-manager-plugin/
Están explotando activamente una vulnerabilidad crítica de ejecución remota de código en el complemento File Manager, más de 300.000 sitios de WordPress potencialmente expuestos.
El 1 de septiembre se conocía la noticia de que atacantes estaban explotando de manera activa una vulnerabilidad zero-day crítica en la versión 6.8 y anteriores del plugin File Manager para WordPress, así como las versiones Pro desde la 7.6 a la 7.8. La vulnerabilidad permite a usuarios no autenticados ejecutar código de manera remota y subir archivos maliciosos en sitios que tuvieran una versión desactualizada de este plugin.
Según explica el equipo de Seravo, “un atacante que explote la vulnerabilidad puede robar datos privados, destruir el sitio o utilizarlo para realizar otros ataques en otros sitios o su infraestructura”. Por suerte, los desarrolladores de este plugin, que al momento de conocerse el fallo contaba con más de 700.000 instalaciones activas, lanzaron rápidamente la actualización 6.9 de este plugin que repara el fallo.
Sin embargo, el pasado viernes 4 de septiembre, el equipo de Wordfence informó que detectó un incremento dramático en la cantidad de ataques intentando explotar el fallo en sitios que no han instalado la última versión del plugin. Según sus datos, desde que se explotó la vulnerabilidad por primera vez hasta el pasado 4 de septiembre se registraron 1.7 millones de ataques a sitios, y aquellos que no tienen instalado este plugin están siendo revisados por bots que buscan detectar versiones vulnerables del plugin File Manager”, explicó la compañía. Pero tal como aclara Wordfence, sus registros se basan en 3 millones de sitios WordPress que protegen, por lo tanto, la verdadera escala de estos ataques es aún mayor que lo que indican sus registros.
Según explicó en su blog Sucuri, otra de las compañías que analizó el fallo, el 31 de agosto registraron un promedio de 1.500 ataques por hora que intentaban explotar la vulnerabilidad, y un día después, cuando se lanzó la actualización, el promedio de ataques por hora subió a 2.500, mientras que el 2 de septiembre registraron picos de más de 10.000 ataques por hora. A su vez, la compañía considera que “la explotación del fallo creció de forma rápida debido a su alto impacto y a los bajos requerimientos”.
Según los datos estadísticos que se muestran en el sitio de WordPress de File Manager, apenas el 21.3% de los sitios que tienen instalado este plugin están corriendo la versión 6.9 que incluye el parche, por lo tanto, todavía existe una gran cantidad de sitios vulnerables.
La única buena noticia es que solo el 51,5% (aproximadamente 300K + sitios web)) de todos los sitios que ejecutan el complemento File Manager tienen una versión vulnerable.
Algunas víctimas de la explotación de esta vulnerabilidad explican en el foro de soporte de WordPress que tras verse afectados por uno de estos ataques su sitio fue utilizado para redirigir a los usuarios a otras páginas.
Recomendamos a aquellos responsables de sitios en WordPress que utilicen este plugin que actualicen cuanto antes a la última versión disponible y en caso de verse afectados que sigan las instrucciones que dejaron los desarrolladores de File Manager.
File Manager < 6.9 - Arbitrary File Upload leading to RCE
Description: Remote Code ExecutionAffected Plugin: File Manager
Plugin Slug: wp-file-manager
Affected Versions: 6.0-6.8
CVSS Score: 10.00 (Critical)
CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Patched Versions: 6.9
El núcleo del problema comenzó con el complemento del Administrador de archivos que cambió el nombre de la extensión en el archivo connector.minimal.php.dist de la biblioteca elFinder a .php para que pudiera ejecutarse directamente, aunque el administrador de archivos no usara el archivo del conector. Estas bibliotecas a menudo incluyen archivos de ejemplo que no están pensados para usarse "tal cual" sin agregar controles de acceso, y este archivo no tiene restricciones de acceso directo, lo que significa que cualquiera puede acceder al archivo. Este archivo podría usarse para iniciar un comando elFinder y estaba conectado al archivo elFinderConnector.class.php
// run elFinder
$connector = new elFinderConnector(new elFinder($opts));
$connector->run();
Cualquier parámetro enviado en una solicitud a connector.minimal.php sería procesado por la función run () en el archivo elFinderConnector.class.php, incluido el comando que se proporcionó en el parámetro cmd.
El archivo lib/php/connector.minimal.php se puede abrir directamente de forma predeterminada y este archivo carga lib/php/elFinderConnector.class.php que lee las variables POST / GET y luego permite ejecutar algunas funciones internas, como cargar archivos. PHP está permitido, por lo que esto conduce a la carga de archivos arbitrarios no autenticados y la ejecución remota de código.
La buena noticia es que elFinder tiene protección incorporada contra el cruce de directorios, por lo que un atacante no podría usar ninguno de estos comandos en ningún archivo fuera del directorio plugins
plugins/wp-file-manager/lib/files/
Peticiones del tipo
POST /wp-content/plugins/wp-file-manager/lib/php/connector.minimal.php HTTP/1.1y
POST //wp-content/plugins/wp-file-manager/lib/files/hardfork.php HTTP/1.1
La vulnerabilidad fue descubierta por primera vez por Gonzalo Cruz de Arsys, el investigador también confirmó que los actores de amenazas ya están explotando la falla para cargar archivos PHP maliciosos en sitios vulnerables.
- La vulnerabilidad afecta a todas las versiones entre 6.0 y 6.8 del popular complemento.
Cruz compartió sus hallazgos con la empresa de seguridad de WordPress Wordfence y le proporcionó una prueba funcional de explotación del concepto para la falla.
Wordfence confirmó el ataque en curso, su Web Application Firewall ya bloqueó más de 450.000 intentos de explotación durante los últimos días.
“A partir de los datos de ataque de nuestro firewall, parece que los atacantes pueden estar investigando la vulnerabilidad con archivos vacíos y, si tienen éxito, pueden intentar inyectar un archivo malicioso. Aquí hay una lista de algunos de los archivos que estamos viendo cargados:
hardfork.php
hardfind.php
x.php
Los expertos de Wordfence confirmaron que los actores de amenazas están intentando cargar archivos PHP con webshells ocultos dentro de imágenes en la carpeta
wp-content/plugins/wp-file-manager/lib/files
El complemento solo se ha descargado un poco más de 126,000 veces en los últimos días, lo que significa que al menos 574,000 sitios de WordPress están potencialmente expuestos.
Fuentes:
https://www.welivesecurity.com/la-es/2020/09/07/wordpress-ataques-sitios-utilizan-plugin-file-manager/
https://www.wordfence.com/blog/2020/09/700000-wordpress-users-affected-by-zero-day-vulnerability-in-file-manager-plugin/
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.