Millones de sitios de WordPress se ven obligados a actualizarse para parchear un fallo crítico de un plugin

Millones de sitios de WordPress han recibido una actualización forzada en el último día para corregir una vulnerabilidad crítica en un plugin llamado UpdraftPlus.
El parche obligatorio llegó a petición de los desarrolladores de UpdraftPlus debido a la gravedad de la vulnerabilidad, que permite a suscriptores, clientes y otras personas que no son de confianza descargar la base de datos privada del sitio siempre que tengan una cuenta en el sitio vulnerable. Las bases de datos suelen incluir información sensible sobre los clientes o la configuración de seguridad del sitio, lo que hace que millones de sitios sean susceptibles de sufrir graves filtraciones de datos que derraman contraseñas, nombres de usuario, direcciones IP, etc.
Malos resultados, fáciles de explotar
UpdraftPlus simplifica el proceso de copia de seguridad y restauración de las bases de datos del sitio web y es el plugin de copia de seguridad programada más utilizado en Internet para el sistema de gestión de contenidos WordPress. Agiliza la copia de seguridad de los datos en Dropbox, Google Drive, Amazon S3 y otros servicios en la nube. Sus desarrolladores afirman que también permite a los usuarios programar copias de seguridad periódicas y que es más rápido y utiliza menos recursos del servidor que los plugins de WordPress de la competencia.
“Este fallo es bastante fácil de explotar, con algunos resultados muy malos si se explota”, aseguró Marc Montpas, el investigador de seguridad que descubrió la vulnerabilidad y la informó en privado a los desarrolladores del plugin. “Hacía posible que los usuarios con pocos privilegios pudieran descargar las copias de seguridad de un sitio, que incluyen copias de seguridad de la base de datos sin procesar. Las cuentas de bajo privilegio pueden significar muchas cosas. Suscriptores habituales, clientes (en sitios de comercio electrónico, por proponer un ejemplo), etc”.
Montpas, un investigador de la empresa de seguridad de sitios web Jetpack Scan, mencionó que encontró la vulnerabilidad durante una auditoría de seguridad del plugin y proporcionó los detalles a los desarrolladores de UpdraftPlus el martes. Un día después, los desarrolladores publicaron una solución y aceptaron forzar su instalación en los sitios de WordPress que tuvieran el plugin instalado.
Las estadísticas proporcionadas por WordPress.org muestran que 1,7 millones de sitios recibieron la actualización el jueves, y más de 287.000 adicionales la habían instalado al cierre de esta edición. WordPress dice que el plugin tiene más de 3 millones de usuarios.

Al revelar la vulnerabilidad el jueves, UpdraftPlus escribió:
Este defecto permite que cualquier usuario conectado a una instalación de WordPress con UpdraftPlus activo ejerza el privilegio de descargar una copia de seguridad existente, un privilegio que debería estar restringido sólo a los usuarios administrativos. Esto era posible debido a que faltaba una comprobación de permisos en el código relacionado con la comprobación del estado actual de las copias de seguridad. Esto permitió la obtención de un identificador interno que de otro modo se desconocía y que pudo ser utilizado para pasar una comprobación sobre el permiso de descarga. Esto quiere decir que si su sitio de WordPress permite a los usuarios no confiables tener un inicio de sesión de WordPress, y si usted tiene cualquier copia de seguridad existente, entonces usted es potencialmente vulnerable a un usuario técnicamente hábil averiguar cómo descargar la copia de seguridad existente. Los sitios afectados corren el riesgo de pérdida o robo de datos a través del acceso de un atacante a una copia de seguridad de su sitio, si éste contiene algo no público. Digo “técnicamente hábil” porque en ese momento, no se ha hecho ninguna prueba pública de cómo aprovechar este exploit. En este momento, depende de un hacker que haga ingeniería inversa de los cambios en la última versión de UpdraftPlus para resolverlo. Sin embargo, no debería confiar en que esto le lleve mucho tiempo, sino que debería actualizar inmediatamente. Si usted es el único usuario de su sitio de WordPress, o si todos sus usuarios son de confianza, entonces usted no es vulnerable, pero todavía recomendamos la actualización en cualquier caso.
[content-egg module=Youtube template=custom/simple]Lo más visto del mes en: Informática

Alberto Berrios
Escribo sobre productos relacionados con el audio desde pequeños altavoces inalámbricos hasta grandes sistemas Hi-Fi. No comparo estos productos con otros, sino que muestro los puntos fuertes y débiles de cada dispositivo separado. Si quieres saber si un determinado producto merece la pena, ¡consulta una de mis reseñas antes de hacer la compra! Gracias por leer, hasta la próxima.