Vulnerabilidad en timthumb.php afecta millones de blogs con WordPress

Recientemente Mark Maunder, CEO de Feedjit descubrió una vulnerabilidad en la librería timthumb.php, que podría permitir a un usuario malintencionado, ejecutar código PHP de manera arbitraria. Gracias a timthumb.php es posible cambiarle de tamaño a las imágenes de forma automática. Esta utilidad presente en millones de plantillas de WordPress, utiliza un directorio que es accesible vía web, para alojar  las imágenes resultantes del proceso de obtener una imagen y redimensionarla. Por defecto, timthumb.php (también nombrado como thumb.php en ciertas plantillas) permite cargar y redimensionar imágenes remotamente desde los siguientes dominios: $allowedSites = array ( 'flickr.com', 'picasa.com', 'blogger.com', 'wordpress.com', 'img.youtube.com', 'upload.wikimedia.org', 'photobucket.com', ); Generalmente el directorio en cuestión es nombrado como “cache”. El problema radica en que timthumb.php no comprueba correctamente los dominios desde donde es posible recibir una imagen. En consecuencia y dado que el directorio “cache” puede ser accesible desde  el navegador web, pues un atacante podría cargar y ejecutar código PHP arbitrario y hacer de las suyas con solo especificar algunos de los dominios del array anterior en la URL; por ejemplo: http://blogger.com.dominio.com/badscript.php De esta manera, timthumb.php lo alojará el fichero badscript.php dentro del directorio de caché en el sitio de destino, por ejemplo: http://tudominio.com/wp-content/themes/tuplantilla/cache/badscript.php Así las cosas, desde el navegador cualquier código que haya en el fichero badscript.php será ejecutado por el servidor web del usuario víctima. Tal cual, lo explica Maunder quien descubrió la vulnerabilidad cuando realizaba una auditoria de un ataque ejecutado en su propio blog. Plantillas de Woothemes, Elegantthemes, Themeforest, templatic, entre miles de otros proveedores, son vulnerables. Instrucciones para reparar la vulnerabilidad y mitigar los riesgos. Si utilizas plantillas de Woothemes y tienes una cuenta en este sitio, desde ya puedes descargar la versión actualizada de tu theme, tomar el thumb.php vulnerable y reemplazarlo por el nuevo. En otro caso, la recomendación es descargar la versión actualizada de timthumb.php (la 1.33) y a partir de este actualizar el timthumb.php de tu plantilla. Adicionalmente, en la línea 27 del script actualizado, eliminar todos los dominios permitidos del array ($allowedSites = array();) Del mismo modo, recomendamos asegurarse de que la siguiente linea se haya establecido como FALSE: define ('ALLOW_EXTERNAL', FALSE); // allow external website (override security precaution - not advised!) Esta vulnerabilidad es considerada como critica y al hacer una búsqueda en Google, obtenemos 40 millones de resultados relacionados con el script. WordThumb, la versión segura de timthumb.php Hace unas horas, Maunder, ha publicado una tercera actualización donde da a conocer detalles de un nuevo proyecto llamado Wordthumb, que promete ser la versión segura de lo que conocemos como timthumb.php y es el resultado de una reescritura completa de este script, sin afectar la compatibilidad del mismo. El único código que sigue siendo original de timthumb, son las rutinas de procesamiento de imágenes.  Todo lo demás ha sido reconstruido desde cero. Las instrucciones básicas sobre como usar este...

Leer Más

Vídeo de la Charla – Padding Oracles Everywhere en la EKOParty 2010

Una de las charlas que mas causaba expectativas en la EKO Party, era la del Vietnamita Thai Duong y el argentino Juliano Rizzo titulada “Padding Oracles Everywhere”, ya que no solo nos enseñarían como funciona este ataque, sino que nos mostrarían un nuevo fallo de seguridad que afectaria por lo menos a un 25% de los sitios web activos en la red. Todo lo que esperábamos de estos 2 personajes se cumplió, no solo nos explicaron claramente el funcionamiento de los ataques “Padding Oracle”, sino que nos mostraron como utilizaron este ataque para descubrir un fallo en el Frameork de ASP.NET y hasta hicieron llover 0days en la EKO. Afortunadamente para quienes no asistieron a la EKO, sus organizadores han publicado en la cuenta oficial del evento, el vídeo de esta excelente charla, para que todos puedan disfrutar de ella y en La Comunidad DragonJAR, lo compartimos con todos...

Leer Más

Nuevo Gusano en Twitter

Twitter esta siendo utilizado como medio de transmisión de un gusano, de momento se desconocen los detalles de estés pero utiliza como medio de difusión una vulnerabilidad CSRF (del inglés Cross-site request forgery o falsificación de petición en sitios cruzados) en Twitter que permite con solo visitar un enlace, publicar automáticamente 2 twitts en la cuenta de quien lo visita (si este se encuentra logueado). El primer mensaje que aparecerá en la cuenta del afectado es el siguiente: El segundo es un enlace que supuestamente muestra una imagen sobre sus gustos sexuales: El código fuente del gusano: Si algún seguidor nuestro visita ese enlace, el ciclo se repite y aparecerán en su timeline los mismos 2 mensajes, de momento no hay solución ya existe una solución, pero aun así, desde La Comunidad DragonJAR, te recomendamos lo siguiente: Cuando veas enlaces como los mostrados en la imagen, no entres en ellos Evita usar por un tiempo la interfaces web de twitter y utiliza mejor algún cliente como TweetDeck (si no estas logueado en la web no se difunde mas el gusano). Utilizar el plugin NoScript en Firefox para evitar ser victimas de este tipo de ataques. El gusano de momento se ha dedicado a expandirse, pero puede que “mute” añadiendo código malicioso al destino del enlace, infectando una gran cantidad de usuarios de...

Leer Más

Lluvia de 0days en la EKOParty

Una de las charlas mas esperadas en la EKOParty 2010 fue la del argentino Juliano Rizzo y el vietnamita Thai Duong, titulada “Padding Oracles Everywhere” donde estos dos personajes, nos mostraban un nuevo fallo no publico que afectaría el 25% de los sitios en la red. Empieza Juliano Rizzo explicándonos de que se tratan los ataques de tipo “Oracle” (oráculo), los conceptos criptográficos de la vulnerabilidad, nos enseño la herramienta POET, que automáticamente puede encontrar y explotar las vulnerabilidades de tipo Oracle y los algoritmos que implementaron en ella. Vídeo de POET contra Apache MyFaces Pueden descargar la herramienta para Windows, GNU Linux y Mac OS X, del apartado de investigacion en Netifera.com. Después de hablarnos sobre POET y los ataques Oracle, empiezan la introducción al 0Day que encontraron en ASP.NET, básicamente el problema radica en que la API de cifrado de ASP.NET que no autentica los mensajes, por lo que usando ataques de tipo Oracle se puede descifrar las cookies, ver estados, obtener tickets en formularios de autenticación, claves de suscripción, datos del usuario, y cualquier otra cosa cifrada usando la API del framework!. Vídeo de la demo, lanzado contra dotnetnuke, uno de los proyectos en web mas populares que usan este framework de Microsoft . Después de mostrar el demo y con toda la atención de la audiencia, a Thai se le ocurrió la “brillante” idea de tirar al aire 3 copias del exploit entre los asistentes a la charla (razón del titulo de este post), algo nunca antes visto y que quedó plasmado en el siguiente vídeo grabado por Francisco Amato. Afortunadamente para quienes tienen desarrollos con el framework de Microsoft, las copias tiradas al aire con el exploit de esta vulnerabilidad, fue cifrado antes como “desafió” y hasta el momento no hay indicios que alguno de sus poseedores lograra romper esta barrera para poder acceder a el. Alguna información adicional sobre el fallo y como mitigarlo: Security Advisory 2416728, lanzado por Microsoft Consejos para mitigar el fallo, por pentonizer.com Understanding the ASP.NET Vulnerability Important: ASP.NET Security...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES

Aprende ONLINE Técnicas HACKING y Seguridad Informática guiad@ por Profesionales RECONOCIDOS con más de 10 años de experiencia REAL en el campo de la Seguridad Informática

Toma acción !AHORA¡
miles ya lo han hecho

NUNCA te enviaremos spam.

  • No necesitas conocimiento previo (De 0 a Ninja)
  • Docentes reconocidos en el medio y con experiencia REAL
  • Clases ONLINE en VIVO que luego podrás repasar si lo deseas desde cualquier parte o cualquier dispositivo
  • Contenidos EXCLUSIVOS generados por nuestros docentes
  • Contacto constante con el docente por distintos medios, antes, durante y después de las clases
  • Laboratorios en linea para que nuestros alumnos practiquen sus conocimientos sin problemas
  • Exclusivo FORO VIP de Alumnos y Ex-Alumnos donde se continúa el aprendizaje y se comparte conocimiento
  • Te entregamos un diploma de certificación por cada curso
  • Miles de ex-alumnos felices