Se ha revelado una grave vulnerabilidad de día cero en el complemento Backup Buddy. Los investigadores detectaron millones de intentos de explotar la falla antes de que recibiera un parche. Dado que la vulnerabilidad ya llamó la atención de los piratas informáticos, los usuarios de WordPress deben asegurarse de actualizar sus sitios web a la última versión del complemento para recibir la solución.
Vulnerabilidad de día cero de Backup Buddy
Según una publicación reciente de Wordfence, notaron la explotación activa de una vulnerabilidad de día cero en el complemento de WordPress Backup Buddy.
Backup Buddy es un complemento dedicado a los sitios de WordPress que permite a los usuarios administrar las copias de seguridad del sitio. El complemento también permite a los usuarios administrar copias de seguridad en múltiples ubicaciones en la nube, como AWS, Google Drive, etc., mientras admite el almacenamiento de copias de seguridad locales. Aquí es donde existía la vulnerabilidad.
Los investigadores han notado que esta característica de descarga local para guardar archivos tiene una implementación insegura. Por lo tanto, un adversario podría descargar fácilmente cualquier archivo arbitrario del servidor. Al describir la causa exacta que desencadena el problema, los investigadores declararon en su publicación:
Específicamente, el complemento registra un gancho admin_init para que la función descargue archivos de copia de seguridad locales y la función en sí no tiene verificación de capacidad ni validación de nonce.
Por lo tanto, un adversario podría descargar cualquier archivo de la copia de seguridad llamando a la función desde cualquier página de administración, incluso sin autenticación.
Según Wordfence, pudieron detectar (y bloquear) al menos 49 millones de intentos de explotar esta vulnerabilidad desde agosto de 2022. Los atacantes procedían de varias direcciones IP, cada una de las cuales realizó varios miles de intentos de ataque. La mayoría de estos ataques tenían como objetivo obtener información confidencial accediendo a los archivos /etc/passwd, /wp-config.php, .my.cnf y .accesshash.
Parche implementado
Los investigadores encontraron la vulnerabilidad que afecta a las versiones 8.5.8.0 a 8.7.4.1 del complemento. Siguiendo el informe de los investigadores, los proveedores corrigieron la falla con el lanzamiento del complemento Backup Buddy versión 8.7.5.
Dada la explotación activa de la falla y el lanzamiento de la solución posterior, Wordfence insta a los usuarios a actualizar sus sitios a la última versión del complemento.
Además, los usuarios también deben consultar sus sitios web en busca de un posible compromiso buscando el valor de los parámetros de descarga local y de identificación de destino local en las solicitudes de registro de acceso. Según Wordfence,
La presencia de estos parámetros con una ruta completa a un archivo o la presencia de ../../ a un archivo indica que el sitio puede haber sido objeto de explotación por esta vulnerabilidad.
Háganos saber sus pensamientos en los comentarios.