Los investigadores han descubierto una grave vulnerabilidad SSRF indiscriminada en WordPress que podría permitir ataques DDoS. En particular, la vulnerabilidad había existido en la plataforma de WordPress durante al menos seis años.
Vulnerabilidad SSRF ciega de WordPress
Según un artículo reciente de Sonar, una vulnerabilidad grave de falsificación de solicitud del lado del servidor ciego (SSRF) ha afectado la implementación de pingback en WordPress. La explotación de la vulnerabilidad permite que un adversario elimine un sitio web de destino a través de ataques DDoS.
Al explicar la vulnerabilidad de la función Pingback, los investigadores dijeron que su exposición continua a los atacantes sigue siendo un vector de ataque importante para derribar sitios web. Describiendo más, los investigadores mencionaron en su artículo,
La funcionalidad de pingback está expuesta en la API XML-RPC de WordPress. Como recordatorio, este es un punto final de API que espera documentos XML donde el cliente puede elegir una función para invocar con argumentos.
Un adversario puede acceder a la funcionalidad de pingback a través del archivo xmlrpc.php, lo que hace que otros blogs anuncien pingbacks. Por lo tanto, extraer estos pingbacks de varios blogs permite al atacante realizar ataques de denegación de servicio distribuido (DDoS).
Los detalles técnicos sobre el problema están disponibles en la publicación de Sonar.
No hay solución disponible en este momento
La vulnerabilidad llamó la atención de un investigador por primera vez en 2017, seguido de muchos más en los años siguientes. Sin embargo, desafortunadamente, la falla nunca recibió un parche oficial.
Incluso ahora, el equipo de Sonar ha confirmado que la vulnerabilidad permanece sin parchear hasta que se divulgue (y en el momento de escribir este artículo). Si bien divulgar tales errores es arriesgado, los investigadores dijeron que tenían que divulgar públicamente la vulnerabilidad dado que el problema existe desde hace años. Sin embargo, confirmaron que se trata de una vulnerabilidad de “bajo impacto”, que requiere encadenar otras vulnerabilidades. Por lo tanto, revelarlo no pondrá en peligro la seguridad de WordPress.
Aunque aún no hay una solución disponible para la falla, los investigadores han ofrecido la siguiente solución para los administradores del sitio de WordPress.
Como solución temporal, recomendamos que los administradores del sistema eliminen el controlador pingback.ping del extremo XMLRPC.
Los investigadores recomiendan bloquear el acceso a xmlrpc.php a nivel del servidor web.
Los usuarios pueden implementar estas soluciones para proteger sus sitios hasta que llegue una solución oficial.
Háganos saber sus pensamientos en los comentarios.