Confirmada la noticia de que el popular plugin WP GDPR Compliance, sufre una vulnerabilidad que permite a los hackers el escalado de privilegios. Antes de continuar con la información, te recomendamos actualizar a la versión 1.4.3 que ha sido parcheada y que puedes bajar desde su repositorio o bien actualizar desde el gestor de plugins de WordPress. Este plugin tiene más de 100.000 instalaciones activas, por lo tanto la repercusión ha sido notable.

El plugins en su uso habitual realiza algunas acciones mediante funcionalidades en admin-ajax.php

$data = (isset($_POST['data']) && (is_array($_POST['data']) || is_string($_POST['data']))) ? $_POST['data'] : false;
if (is_string($data)) {
$data = json_decode(stripslashes($data), true);
}

En todas las versiones anteriores incluida la 1.4.2, no se hacen comprobaciones de capacidad al realizar acciones internas del save_settings el cual realiza cambios en la configuración. Si un usuario malintencionado envía opciones arbitrarias y valores para este parámetro, los campos de entrada se almacenará en la tabla de opciones de base de datos del sitio afectado.

 

 

Además del almacenamiento de los valores de las opciones arbitrarias, el plugin también también hace uso de la acción do_action(). Podemos decir entonces que tenemos dos vulnerabilidades, primero la actualización de opciones arbitrarias, y segunda la acción de llamadas arbitrarias. Con ambas vulnerabilidades tenemos una escalada de privilegios.

Hemos recibido noticias de sitios web afectados por esta vulnerabilidad donde han sido creadas nuevas cuentas de usuarios administradores. Con esta vulnerabilidad puedes establecer la opción de users_can_register a 1 y cambiando el default_role de los nuevos usuarios a “administrador“. Los atacantes pueden simplemente acceder y rellenar el formulario /wp-login.php?action=register e inmediatamente acceder a los privilegios de la cuenta. Con este panorama el atacante podrá instalar plugins, un shell o código malicioso en nuestro tema.

Es importante verificar si tenemos usuarios no conocidos, pues hemos detectado en algunos ataques nombres de usuarios con variaciones de t2trollherten. Este tipo de intrusión como indicábamos el atacante podría haber subido archivos como un shell a nuestro alojamiento, por ejemplo wp-cache.php.

Si has sido afectado, nuestro equipo de técnicos especialistas puedes solucionar y revisar todo tu sitios web para garantizar una completa limpieza y asegurarte que no está comprometido.