Un trío de vulnerabilidades críticas de día cero en los complementos de WordPress expuso 160,000 sitios web a ataques después de que un investigador de seguridad reveló públicamente las fallas antes de que los parches estuvieran disponibles.
Las Publicaciones relacionadas con Yuzo y los complementos personalizados de WordPress WordPress Customizer utilizados por 60,000 y 30,000 sitios web respectivamente fueron atacados cuando sus violaciones de código se dieron a conocer públicamente en línea.
Cuando se publicaron las publicaciones de Zero Day, ambos complementos se eliminaron del repositorio de complementos de WordPress, lo que provocó que los sitios web eliminaran los complementos, de lo contrario podrían atacarse ellos mismos. Yellow Pencil ha lanzado un parche tres días después de que se lanzara la vulnerabilidad, pero el plug-in Yuzo Related Posts permanece cerrado, ya que no se han hecho arreglos.
Además, el plugin Social Warfare, utilizado por 70,000 sitios, fue afectado por proezas demenciales después de la publicación pública de fallas de seguridad en su código. Los desarrolladores de complementos corrigieron rápidamente la falla, pero desafortunadamente era demasiado tarde porque los sitios que la estaban usando ya estaban hackeados.
Vulnerabilidades de los complementos.
Los tres complementos vulnerables fueron pirateados para redirigir a los visitantes a sitios que promovían estafas de soporte técnico y otros tipos de fraude en línea.
Sin embargo, un punto común para todos es el hecho de que las vulnerabilidades se produjeron después de que un sitio llamado Plugin Vulnerabilities publicara artículos detallados que revelaban las vulnerabilidades subyacentes. Estas publicaciones incluían suficientes detalles técnicos y un código de explotación de prueba de concepto que los piratas informáticos podían usar fácilmente esta información para atacar los complementos vulnerables y empeorar las cosas, y algunos de los códigos utilizados en los ataques se copian claramente. pegado desde el plugin de publicaciones. Vulnerabilidades.
Una vez que se descubrieron las vulnerabilidades relacionadas con el lápiz amarillo y el tema de la guerra social, los hackers las explotaron en cuestión de horas. El día cero, The Yuzo Related Posts, estuvo en libertad durante 11 días antes de ser explotado.
El investigador de seguridad de las vulnerabilidades del complemento, responsable de la publicación de artículos que detallan las vulnerabilidades del día cero, explicó por qué eligió hacerlo. Ars Technica, diciendo:
"Nuestra política de divulgación actual es divulgar todas las vulnerabilidades, luego informar al desarrollador a través del Foro de Soporte de WordPress, incluso si los moderadores presentes ... con demasiada frecuencia, simplemente eliminen estos mensajes y no informen a nadie".
Básicamente, el investigador de seguridad decidió publicar vulnerabilidades de día cero en su propio sitio después de que sus mensajes de vulnerabilidad fueron eliminados del Foro de Soporte de WordPress por violar sus reglas. Aunque informar a los desarrolladores de las vulnerabilidades de "día cero" es una cosa, publicarlas públicamente en un lugar accesible para todos, incluso los piratas informáticos, es una historia completamente diferente.
через Ars Technica