Agujero de seguridad en WordPress


Desde el blog de Rooibo, el autor explica en forma sencilla como trabaja este nuevo fallo de WordPress.





Hace unos días encontré un problema que afecta a todas las versiones de wordpress, y que puede ser explotado de forma bastante sencilla, sin embargo, requiere un poco de interacción con el administrador del blog, para que caiga en nuestra pequeña trampa.

Insisto en que no se trata de un engaño ni de que el administrador nos de su contraseña ni nada rastrero, es un agujero de seguridad real, como ahora explicaré.

El problema empieza en el fichero press-this.php, dentro de wp-admin:

http://www.ejemplo.com/wordpress/wp-admin/press-this.php?t=Hacked%20by%20me&s=a%20pro%20hacker%20hacked%20this%20blog

Si el administrador del sitio visitase esta url (ya veremos como), le sale un editor para crear una nueva entrada en el blog, y además, rellenado ya con un título para la entrada y un cuerpo para la entrada, que podemos rellenar utilizando esas dos variables que van por GET.

Esto es un pequeño CSRF que nos permite rellenar el formulario sin que el usuario toque nada.

El problema está en que aunque montemos una web, tipo www.webmuymuymala.com y dentro metamos un iframe que apunte a esa url, y mandando un correo, hagamos que el dueño del blog entre a www.webmuymuymala.com, aun y así, no pasará nada, por que aunque el contenido del nuevo post se autorellena, falta pulsar el botón publicar, cosa que el administrador no hará.

Llegados a este punto, podemos tirar de otra técnica explicada aquí en este mismo blog, llamada clickjacking, para insertar un iframe apuntando a esa URL, bajarle la opacidad a 0, de forma que no se ve nada, y justo debajo del botón publicar, poner un botón que ponga: entrar en mi página!, que aparezca al entrar en www.webmuymuymala.com.

Ahora solo tenemos que convencer al administrador del blog para que entre en nuestra web, el verá una portada y un botón normal y corriente para entrar en la web, y cuando clique, estará clicando en un iframe transparente que tiene encima, concretamente, en el botón publicar del post pre-rellenado.

Explicación:
Página web normal y corriente, con un iframe dentro, que apunta a lo explicado arriba
Ahora reducimos un poco la opacidad del iframe, para que se vea lo que hay debajo
y finalmente reducimos la opacidad a 0, ¿alguien se daría cuenta del engaño? Es imposible, sin tener instalada alguna extensión como noscript.

Como veis, es totalmente imposible saber que hay un iframe transparente encima de ese botón enter.

Cuando el administrador pulse en el botón Enter, estará picando en publicar y agregará una nueva entrada a la portada de su blog, sin llegar a ver nada.

Para evitar este tipo de problemas, las páginas importantes como facebook o twitter impiden cargar ciertas áreas dentro de un iframe, he contactado con wordpress y les he recomendado que la administración no se pueda cargar en un iframe, han abierto un ticket aquí:

http://core.trac.wordpress.org/ticket/12293

Y están debatiendo que hacer. En wordpress.com, el servicio público que ofrecen ya está parcheado. Para variar, y debido a mi MUY mala relación con wordpress, han vuelto a no darme crédito por el aviso ni por nada (es lo que tiene llevarse mal, muy mal), aunque he querido arreglar un poco las cosas y no he publicado hasta que Ryan Boren, de wordpress me ha dado el visto bueno.

Fuente:
http://www.rooibo.com/

 



Otras noticias de interés:

Pantallazo azul (BSOD) en Windows Vista y 7 a través de unidades compartidas
Laurent Gaffié ha detectado un fallo de seguridad en Windows Vista que podría permitir a un atacante provocar un BSOD (pantallazo azul, una denegación de servicio) con solo enviar algunos paquetes de red manipulados a una máquina que tenga activo...
Sir Tim Berners-Lee en desacuerdo con la estúpida cultura geek masculina
El inventor de la World Wide Web, Sir Tim Berners-Lee, ha pedido terminar de una vez con la estúpida cultura geek masculina que desprecia el trabajo de mujeres ingenieras capacitadas, y que hace que otras personas desechen el entrar en la profe...
Muere el DRM pero vuelven las marcas de agua
A pesar de la alegría que pueda suponer que el DRM esté siendo abandonado por las cuatro grandes discográficas, los consumidores no deben perder de vista que la industria musical está experimentando con las marcas de agua digitales como sustituta...
Bases de datos: ¿inseguras?
Recientemente la Independent Oracle Users Group's (IOUG) (ver referencias) liberó un estudio realizado con 430 de sus miembros sobre la seguridad en los datos, donde se revelan cinco puntos claves que muestran porqué falla la seguridad en las bases...
Falso skin de KaZaa borra todos los archivos de Windows
KaZaa, como muchos otros programas, admite el cambio de su apariencia externa por medio de la carga de diferentes skins (o pieles). Sin embargo, los enemigos de este sistema de intercambio de archivos entre usuarios (y no dude que los tiene), pare...
Una de cada cuatro empresas define reglas para uso interno de redes sociales
Pese a los miedos por el descenso en la productividad y los deseos de no quedarse afuera en las tecnologías del futuro, apenas el 26% de las empresas argentinas tiene definida una política respecto del uso interno de las redes sociales por parte de...
Más privacidad en Internet
La Casa Blanca señala que las nuevas reglas de privacidad en internet son un balance entre la protección a la privacidad y el desarrollo económico....
Opciones de seguridad en Linux a través de /proc (II)
Continuamos con la descripción de los parámetros de seguridad de las máquinas que ejecutan Linux con el sistema de archivos virtual /proc. Los parámetros que vamos a ver a continuación muestran como podemos controlar la forma en que un sistema a...
Precaución!!! - Gusano simula ser un test de Hispasec
Un nuevo gusano se está distribuyendo por e-mail simulando ser un test enviado desde el famoso site Hispasec. El archivo que se adjunta es en realidad un nuevo gusano que está siendo distribuido desde Hotmail. Recordamos a todos nuestros lectores q...
Consejos para proteger tu intimidad en redes sociales (Facebook - Twitter, etc)
Las Redes Sociales son una forma de interacción social y uno de los servicios más demandados por los internautas. De hecho, más de la mitad de los internautas españoles están registrados en una red social según datos extraidos del estudio ‘Na...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • agujero
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • wordpress
  • xanadu
  • xfce
  • xombra