El 26 de enero se publicó la Security Release 4.7.2 de Word Press y se recomendaba a los usuarios de versiones anteriores actualizar lo antes posible.
Actualizar WordPress por temas de seguridad

Si no actualizas tu WordPress estás expuesto, si lo actualizas… también

La versiones 4.7.1 y anteriores se pueden ver afectadas por los siguientes problemas de seguridad:

  1. La interfaz de usuario para asignar términos de taxonomía en Press This se muestra a usuarios son permisos para ello. Reportado por David Herrera of Alley Interactive.
  2. WP_Queryes vulnerable a SQL injection (SQLi) cuando se pasan datos no seguros. El core de WordPress no es vulnerable a este problema directamente, pero se ha añadido “hardening” para prevenir que temas y plugins de terceros puedan causar una vulnerabilidad accidentalmente. Reportado por Mo Jangda (batmoo).
  1. Se ha descubierto una vulnerabilidad de cross-site scripting (XSS) en la tabla de lista de posts. Reportado por Ian Dunn del WordPress Security Team.

Se ha descubierto una vulnerabilidad de escalación de privilegios sin autentificar en un endpoint REST API. Reportado por Marc-Alexandre Montpas de Sucuri Security.

Aquellos usuarios que tengan habilitadas las actualizaciones automáticas estarían cubiertos frente a estas vulnerabilidades, pero los que no, dejan abierta una ventana de tiempo hasta la actualización manual. Por supuesto, el tiempo que ha transcurrido hasta la detección de las vulnerabilidades ha dejado otra ventana en la que se han podido producir ataques de día cero.

Una vez que se hicieron públicas las vulnerabilidades, se ha producido una auténtica competición entre hackers de sombrero negro por ver quién provocaba el mayor número de “defacings” (modificación de páginas web). Teniendo en cuenta que WordPress es el CMS más extendido en el mercado, con alrededor de un 60% de cuota, han tenido mucho campo para lanzar estos ataques. No hay que olvidar que estas vulnerabilidades existían antes de que se hiciesen públicas, por lo que han podido ser aprovechadas hasta que ha salido la actualización aunque no haya sido de manera tan masiva.

Desde Transparent CDN recomendamos mantener los CMS actualizados a la última versión. Esto no es siempre posible por distintas razones: necesidad de testear la nueva versión, carga de trabajo del equipo de sistemas, o simplemente no tener una política adecuada de actualizaciones. Por eso es aconsejable añadir una capa de seguridad que nos proteja durante esa ventana de actualización, y lo que es más importante, que nos proteja incluso de vulnerabilidades aún no conocidas de la última versión disponible.

Transparent CDN ofrece varias capas de seguridad. En concreto para las vulnerabilidades descubiertas en WordPress, nuestro servicio SecureLayer, un servicio de WAF, protege los CMS de nuestros clientes frente a ataques de SQL injection, cross-site scripting y ofrece un conjunto de reglas adaptadas específicamente a WordPress.

Porque sufrir un “defacing” si bien puede no tener un impacto directo en el negocio de la víctima, si lo tiene en su reputación. Y por poner un ejemplo práctico ¿comprarías algo en un e-tailer que ofrece dudas sobre la seguridad de su web?

Y un paso más allá. Estás vulnerabilidades han sido explotadas en la mayoría de los casos para modificar las webs. Casi podríamos catalogarlo como gamberrada. Pero esas mismas vulnerabilidades pueden utilizarse para exfiltración de datos, o modificación, por ejemplo, de precios en la web para adquirir cualquier producto al precio que considere nuestro hacker de sombrero negro.

¿Merece la pena arriesgar tu reputación o tu negocio? Seguro que no. Protégete con SecureLayer de Transparent CDN.

Share This