Un investigador de seguridad con rencor deja en la Web 0 días a usuarios inocentes

Autor

Categorias

Compartir


Imagen de unos y ceros con la palabra.

Durante las últimas tres semanas, un trío de vulnerabilidades críticas en zeroday en los complementos de WordPress ha expuesto a 160,000 sitios web a ataques que permiten a los piratas informáticos redirigir a sus visitantes a destinos maliciosos. Un autoproclamado proveedor de seguridad que reveló públicamente fallas antes de que estuvieran disponibles los parches desempeñó un papel clave en la debacle, aunque los retrasos de los desarrolladores de complementos y los administradores de sitios en el lanzamiento e instalación de Los parches también han contribuido.

- Advertisement -

Durante la semana pasada, las vulnerabilidades de zeroday en ambos Yuzo Publicaciones relacionadas y Personalización visual del tema del lápiz amarillo. Los complementos de WordPress, utilizados por 60,000 y 30,000 sitios web respectivamente, fueron atacados. Ambos plugins fueron eliminados de la Depósito de plugins de WordPress En la época en que se publicaron las publicaciones de zeroday, los sitios web no tenían otra opción que eliminar los complementos. El viernes (tres días después de la revelación de vulnerabilidad), Yellow Pencil. publicó un parche. En el momento en que se informó este mensaje, las publicaciones relacionadas de Yuzo permanecieron cerradas sin una solución.

Explotaciones en la naturaleza contra Guerra social, un plugin usado por 70,000 sitios, comenzó hace tres semanas. Los desarrolladores de este complemento corrigieron rápidamente la falla, pero no antes de piratear los sitios que la usaban.

Estafas e injertos en línea.

Las tres oleadas de ataques han impulsado a los sitios que usan complementos vulnerables a redirigir a los visitantes a sitios que buscan estafas de soporte técnico y otras formas de trasplantes en línea. En los tres casos, las vulnerabilidades ocurrieron después de un sitio llamado Vulnerabilidades de los complementos. Publicó información detallada sobre las vulnerabilidades subyacentes. Las publicaciones incluían suficiente código de explotación de prueba de concepto y otros detalles técnicos para facilitar la piratería de sitios vulnerables. De hecho, parece que parte del código utilizado en los ataques se ha copiado y pegado de las publicaciones de Plugin Vulnerabilities.

Unas horas después de la vulnerabilidad del complemento de Vulnerabilidades Lápiz amarillo tema visual y Guerra social revelaciones, las vulnerabilidades de zeroday han sido activamente explotadas. Tardó 11 días después de la vulnerabilidad del complemento. Yuzo Publicaciones Relacionadas zeroday Por hazañas en la naturaleza para informar. No se reportó ninguna explotación de estas vulnerabilidades antes de las revelaciones.

Los tres artículos sobre Vulnerabilidades de los complementos publicados en zeroday contenían un lenguaje estándar que decía que el autor anónimo los estaba publicando para protestar por "los moderadores del comportamiento todavía inadecuado del Foro de soporte de WordPress". El autor le dijo a Ars que había estado tratando de advertir a los desarrolladores solo cuando los zerodays ya habían sido publicados.

"Nuestra política de divulgación actual es divulgar todas las vulnerabilidades, luego informar al desarrollador a través del Foro de Soporte de WordPress, incluso si los moderadores presentes … muy a menudo, no eliminan estos mensajes ni informan a nadie", escribe el # Autor en un correo electrónico.

Segun uno artículo del blog Warfare, el desarrollador de Social Warfare, lanzado el jueves, aquí está el calendario del 21 de marzo, fecha en que las vulnerabilidades de los complementos dejó caer el zeroday para este plugin:

14:30 (acerca de) – Un individuo sin nombre ha lanzado la vulnerabilidad que los hackers podrían aprovechar. No sabemos la hora exacta de publicación porque el individuo ha ocultado la hora de publicación. Los ataques a sitios web confiados comienzan casi inmediatamente.

14:59 – WordPress descubre el lanzamiento de la vulnerabilidad, elimina Social Warfare del repositorio de WordPress.org y envía un correo electrónico a nuestro equipo sobre el problema.

15:07 – Responsable y respetable, WordFence publica su descubrimiento de publicación y vulnerabilidad, sin dar detalles sobre cómo aprovechar el exploit.

15:43 – Cada miembro del equipo de plug-in Warfare recibe información, recibe instrucciones tácticas y comienza a tomar medidas sobre la situación en cada área: Desarrollo, comunicaciones y soporte al cliente..

16:21 – Se ha publicado un aviso que dice que estamos al tanto de la vulnerabilidad, así como las instrucciones para deshabilitar el complemento hasta que se corrija. publicado en Twitter así como en nuestro sitio web.

17:37 – El equipo de desarrollo de Warfare Plugins emite el código final para corregir la vulnerabilidad y cancelar cualquier inyección de script malicioso que lleve a la redirección del sitio. Comienzan las pruebas internas.

17:58 – Después de las rigurosas pruebas internas y el envío de una versión corregida a WordPress para su revisión, se lanza la nueva versión de Social Warfare (3.5.3).

18:04 – Email a todos Guerra Social – Pro Los clientes reciben detalles sobre la vulnerabilidad e instrucciones sobre la actualización inmediata.

Sin arrepentimientos

El autor declaró que había limpiado la seguridad de las publicaciones relacionadas con Yuzo y el lápiz amarillo después de descubrir que habían sido eliminados sin la explicación del repositorio de plugins de WordPress y que habían sospechado. "Así que mientras nuestros mensajes podrían haber llevado a la explotación, [sic] Es posible que se esté realizando un proceso paralelo ", escribió el autor.

El autor también señaló que transcurrieron 11 días entre la divulgación de Zuzaroday de Yuzo Related Posts y el Primeros informes conocidos de que fue explotado.. Según el autor, estas vulnerabilidades no habrían sido posibles si el desarrollador hubiera corregido la vulnerabilidad durante este intervalo.

Cuando se le preguntó si había algún remordimiento para los usuarios finales inocentes y los propietarios de sitios web que se vieron perjudicados por las hazañas, el autor declaró: "Nosotros no? no tenemos conocimiento directo de lo que están haciendo los piratas informáticos, pero parece probable que nuestras revelaciones podrían haber llevado a la explotación. Estas revelaciones completas hubieran cesado hace mucho tiempo si la moderación del foro de soporte simplemente se eliminara, así que cualquier daño causado por esto podría haberse evitado si simplemente hubieran acordado limpiar esto ".

El autor se negó a dar un nombre o identificar vulnerabilidades de los complementos, aparte de decir que era un proveedor de servicios que detecta vulnerabilidades en los complementos de WordPress. "Estamos tratando de mantenernos por delante de los piratas informáticos porque nuestros clientes nos están pagando para advertirles de las vulnerabilidades de los complementos que utilizan, y obviamente es mejor advertirles antes de que sucedan". No se puede explotar en lugar de ".

¿Vulnerabilidades de los plugins de Whois?

El sitio web del Complemento de Vulnerabilidades tiene un pie de página de copyright en cada página que enumera Dibujos de abeto blanco, LLC. Los registros de Whois para pluginvulnerabilities.com y whitefirdesign.com también indican al propietario como White White Designs de Greenwood Village, Colorado. la Búsqueda en la base de datos de empresas. para el estado de Colorado muestra que White Fir Designs fue incorporado en 2006 por un tal John Michael Grillot.

El corazón del autor con los moderadores del foro de soporte de WordPress, en función de temas como aquél, eliminan sus publicaciones y eliminan sus cuentas cuando revela vulnerabilidades no resueltas en foros públicos. la Mensaje reciente en Medium declaró que estaba "prohibido de por vida", pero se había comprometido a continuar indefinidamente a utilizar las cuentas inventadas. Mensajes como aquél El escándalo público de Vulnerabilidades del complemento de demostración en los foros de soporte de WordPress se ha estado preparando desde al menos 2016.

Por supuesto, hay un montón de culpa por las recientes hazañas. Los complementos de WordPress enviados por voluntarios han sido durante mucho tiempo el mayor riesgo de seguridad para los sitios que ejecutan WordPress. Hasta ahora, los desarrolladores del sistema de gestión de contenido de código abierto no han encontrado una manera de mejorar la calidad de manera suficiente. Además, los desarrolladores de complementos a menudo tardan mucho tiempo en solucionar las vulnerabilidades críticas y los administradores del sitio para instalarlas. La publicación del blog Warfare Plugins ofrece una de las mejores excusas para su función de no descubrir la falla crítica antes de que sea explotada.

Pero la mayor parte de la culpa proviene de un proveedor de seguridad que se describe a sí mismo y que admite fácilmente haber dejado de lado a cero como una forma de protesta o, como alternativa, como una forma de proteger a los clientes (como si se necesitara un código de explotación para hacer). Sin excusas o remordimientos por parte del informante, por no mencionar un número vertiginoso de complementos mal editados y mal editados en el repositorio de WordPress, no sería sorprendente ver más revelaciones de Zeroday en los próximos días.

Este artículo se ha actualizado para eliminar los detalles incorrectos en White Fir Design.



Source link Original by Ars Technica

- Advertisement -

Autor

Compartir

Usamos cookies para brindarle la mejor experiencia en línea. Al aceptar el uso de cookies esta de acuerdo con nuestra política de cookies.