Un popular plugin de optimización SEO de WordPress, llamado All in One SEO, tiene dos vulnerabilidades de seguridad que, cuando se combinan en una cadena de exploits, podrían dejar expuestos los sitios web al completo. El complemento es utilizado por más de 3 millones de sitios web.
Según los investigadores de seguridad de la firma Sucuri, un usuario con una cuenta de suscriptor o de compra online, puede aprovechar este bug para escalar privilegios e inyectar código arbitrario, lo que dejaría en manos del atacante la administración del sitio web.
La vulnerabilidad más significativa es la escalada de privilegios, que afecta a las versiones 4.0.0 y 4.1.5.2 de All in One SEO.
Ha sido clasificada con una puntuación de gravedad de 9.9 sobre 10 y permite tanto la escalada de privilegios como la creación de una puerta trasera en el servidor web afectado.
Los sitios web de WordPress permiten de forma predeterminada que cualquier usuario en la web cree una cuenta. De forma predeterminada, las cuentas nuevas se clasifican como suscriptores y no tienen más privilegios que escribir comentarios. Sin embargo, ciertas vulnerabilidades, como las que se acaban de descubrir, permiten que estos usuarios suscriptores tengan muchos más privilegios de los que debían tener.
Extracto del informe de los investigadores
Según los investigadores, esta vulnerabilidad puede explotarse con sólo cambiar un carácter de una solicitud a mayúsculas.
Básicamente, el complemento puede enviar comandos a varios endpoints de la API REST y realiza una verificación de permisos para asegurarse de que nadie esté haciendo algo que no esté autorizado a hacer. Sin embargo, las rutas de la API REST distinguen entre mayúsculas y minúsculas, por lo que un atacante solo necesita alterar el caso de un carácter para evitar las comprobaciones de autenticación, según el informe.
Cuando se explota, esta vulnerabilidad tiene la capacidad de escribir ciertos archivos dentro de la estructura de archivos de WordPress, dando efectivamente acceso de puerta trasera a cualquier atacante. Esto permitiría una toma de control del sitio web y podría elevar los privilegios de las cuentas de suscriptor a administradores.
Investigadores de Sucuri
Hay otra vulnerabilidad detectada en este bug que tiene una puntuación de gravedad de 7.7 sobre 10. En esta ocasión, el problema radica en un endpoint de la API llamado «/wp-json/aioseo/v1 / objects«. Si los atacantes explotaran la vulnerabilidad anterior para elevar sus privilegios al nivel de administrador, obtendrían la capacidad de acceder al endpoint y, desde allí, podrían enviar comandos SQL maliciosos a la base de datos del servidor web para recuperar las credenciales de usuario, información de administrador y otra información confidencial.
WordPress y sus miles de PlugIns son un objetivo habitual y muy atractivo para los atacantes, dada su enorme cuota de mercado. Se estima que alrededor del 40% de los sitios web que hay en línea usan WordPress como gestor de contenidos. A mediados de este mismo mes se publicaba que más de 1.6 millones de sitios web de WordPress fueron el objetivo de un ataque masivo que también explotaba vulnerabilidades en PlugIns y Temas.
Recomendaciones
Se recomienda a todos los usuarios verificar si tienen instalado el PlugIn All in One SEO y si es así, deben actualizarlo a la versión 4.1.5.3, revisar las cuentas de administración activas, cambiar las credenciales y si es posible, instalar un sistema de autenticación de doble factor.
