Un plugin de WordPress llamado 'ThemeGrill Demo Importer' expuso 200,000 sitios web a hackers

WordPress ThemeGrill Plugin Vulnerability

Los sistemas de gestión de contenido (CMS) como WordPress han transformado por completo el proceso de creación y mantenimiento de un sitio web. En este momento, construir un sitio web puede ser tan fácil como configurar una instalación de WordPress y agregar algún contenido. Las personas que alguna vez escribieron sitios enteros desde cero ahora crean temas y complementos de CMS que lo ayudan a ajustar y personalizar su propio sitio web con solo unos pocos clics del mouse. Es mucho más conveniente y, lo que es más importante, bastante más barato de lo que solía ser. Sin embargo, hay una compensación.

Las personas que escriben temas y complementos para plataformas como WordPress cometen errores de vez en cuando, y cuando lo hacen, los errores no afectan a un solo sitio web. Un solo error puede causar problemas en miles de sitios web, y si el problema está relacionado con la seguridad, las consecuencias pueden ser bastante devastadoras. Una vulnerabilidad recientemente descubierta en el complemento ThemeGrill Demo Importer para WordPress nos mostró cuán malas podrían ser las cosas.

ThemeGrill dejó un error que podría haber permitido a los hackers borrar sitios web completos

ThemeGrill desarrolla temas premium para WordPress, y también ofrece un complemento llamado ThemeGrill Demo Importer, que permite a los administradores importar fácilmente temas y configuraciones directamente a sus sitios web. Si tiene un sitio web basado en WordPress y usa ThemeGrill Demo Importer, debe asegurarse de que el complemento esté actualizado a su última versión. Los investigadores de WebARX descubrieron que todas las encarnaciones del complemento entre ThemeGrill Demo Importer 1.3.4 y ThemeGrill Demo Importer 1.6.1 están afectadas por una vulnerabilidad de seguridad crítica que puede permitir que los hackers causen estragos.

El problema radica en una función llamada reset_wizard_actions, que se carga cuando el complemento detecta un tema ThemeGrill activo. La función se conecta a admin_init, que normalmente se ejecuta solo en un entorno de administración. Sin embargo, también puede realizar llamadas a /wp-admin/admin-ajax.php, y los investigadores descubrieron que al interactuar con este archivo, reset_wizard_actions no comprueba si un usuario está autenticado.

Utilizando cargas útiles cuidadosamente diseñadas, los piratas informáticos pueden eliminar todo el contenido de un sitio web vulnerable o pueden asumir derechos administrativos y hacer más o menos lo que quieran con él.

ThemeGrill parcheó el complemento

El informe de WebARX muestra que revelar el problema y ayudar con la solución no fue la experiencia más fluida, pero debemos señalar que hemos visto cosas mucho peores. Los investigadores enviaron su primer informe el 6 de febrero. Después de no recibir respuestas durante cinco días, intentaron ponerse en contacto con ThemeGrill nuevamente. El 14 de febrero, el desarrollador finalmente respondió, y en dos días, se lanzó una nueva versión que aborda el problema.

El hecho de que la vulnerabilidad esté parchada es una buena noticia, pero es solo la mitad de la historia. ThemeGrill Demo Importer 1.3.4, la versión que introdujo el error, se lanzó hace tres años, y todos los sitios web que usaron el complemento entre entonces y el domingo cuando se lanzó el parche han sido expuestos. Aunque no hay evidencia de explotación en la naturaleza, muchos de los 200 mil sitios web que tienen instalado ThemeGrill Demo Importer todavía usan versiones vulnerables del complemento, lo que significa que podríamos ver víctimas de la vulnerabilidad muy pronto.

Aquí es donde radica el gran problema. Según W3Techs, WordPress alimenta más del 35% de todos los sitios web en todo el mundo. Hay un ecosistema completo que admite el CMS, y millones de personas lo usan porque mantener un sitio web con él es tan fácil como parece. Lamentablemente, la experiencia nos ha enseñado que las actualizaciones de seguridad y los parches no son muy importantes en muchas de las listas de prioridades de estas personas. Si Internet se convertirá en un lugar más seguro, esto debe cambiar.

February 18, 2020

Deja una respuesta