Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
03/08/2011
Detectada vulnerabilidad de día cero en sitios WordPress
Los atacantes están explotando una extensión muy utilizada de la plataforma de publicación WordPress que les permite tomar el control de los sitios web vulnerables, según informa una de las víctimas del ataque.
La vulnerabilidad afecta virtualmente a todos los sitios web que tienen una utilidad de redimensionado de imágenes llamada TimThumb funcionando junto con WordPress, según publicó Mark Maunder, CEO de Feedjit, y cuya página web fue abusada utilizando este fallo de seguridad para incluir anuncios.
Según Maunder, la extensión es "inherentemente insegura" porque permite a los atacantes ejecutar código malicioso en los sitios web que la usan. Según él, al menos dos sitios web han sido comprometidos.
Tras una investigación minuciosa, descubrió que un atacante había utilizado TimThumb para cargar un fichero PHP en uno de sus directorios y ejecutarlo. TimThumb permite por defecto la carga remota de ficheros desde blogger, wordpress y otros 5 sitios web, para su posterior redimensionado. El problema reside en que no verifica las URL obtenidas en busca de cadenas maliciosas, permitiendo la carga de contenido malicioso.
"Si creas un fichero en un servidor web con una URL como: http://blogger.com.sitiomalicioso.com/scriptmalicioso.php y le pides a timthumb.php que lo cargue, este descarga el fichero a su directorio de cache, listo para ser ejecutado", explicó Maunder.
Esta técnica fue usada durante la semana pasada para hackear a Ben Gillbanks, desarrollador de TimThumb. Gilders está trabajando en una solución permanente, pero mientras esta llega, Maunder ha creado un parche temporal que fija los errores más obvios.
Más información en la web de Mark Maunders.