0
0
Três bugs de segurança críticos permitem uma escalada fácil de privilégios para uma função de administrador.
Um plugin WordPress instalado em mais de 100.000 sites tem três bugs de segurança críticos que permitem uma escalada de privilégios – e potencialmente controle total sobre um site do WordPress de destino.
O plugin, chamado Ultimate Member,permite que os administradores da Web adicionem perfis de usuários e áreas de associação aos seus destinos web. De acordo com os pesquisadores do Wordfence, as falhas possibilitam que atacantes autenticados e não autenticados aumentem seus privilégios durante o registro, para alcançar o status de administrador.
“Uma vez que um invasor tenha acesso administrativo a um site do WordPress, eles efetivamente assumiram todo o site e podem executar qualquer ação, desde levar o site off-line até infectar ainda mais o site com malware”, detalharam os pesquisadores do Wordfence em uma postagem na segunda-feira.
“Os plugins do WordPress são alguns dos vetores de ataque mais populares alavancados contra sites”, disse Charles Ragland, engenheiro de segurança da Digital Shadows, ao Threatpost em uma visão geral dos problemas. “O plugin Final Member foi projetado para fornecer aos administradores recursos para registro de usuário e criação de contas. As vulnerabilidades divulgadas incluíam a escalada de privilégios não autenticadas, enviando dados arbitrários nas meta chaves do usuário durante o registro ou fornecendo um parâmetro de função incorreto exposto pela falta de filtragem de entrada do usuário. A terceira vulnerabilidade divulgada envolve a obtenção de uma escalada de privilégio autenticada abusando do recurso de atualização de perfil, onde os invasores podem atribuir funções de administrador secundário aos usuários sem verificações apropriadas.”
Detalhes do bug
A primeira falha (CVEs estão pendentes) carrega uma classificação de 10 em 10 na escala CvSS. Ela existe na forma como os formulários de registro do usuário realizam verificações nos dados do usuário enviados; os atacantes não autenticados podem fornecer teclas de meta de usuário arbitrárias durante o processo de registro que afetam a forma como suas funções são atribuídas.
“Isso significava que um invasor poderia fornecer um parâmetro de matriz para metadados sensíveis, como o wp_capabilities meta do usuário, que define o papel de um usuário”, explicaram os pesquisadores do Wordfence. “Durante o processo de inscrição, os dados cadastrais submetidos foram passados para a função update_profile, e quaisquer metadados respectivos que fossem submetidos, independentemente do que fosse apresentado, seriam atualizados para aquele usuário recém-registrado.”
Isso significa que um invasor pode simplesmente fornecer “wp_capabilities[administrador]” como parte de uma solicitação de registro, o que daria a ele ou a ela uma função de administrador.
Um segundo bug relacionado (também crítico, com um ranking de 10 de 10 na escala de gravidade) decorre da falta de filtragem no parâmetro de função que poderia ser fornecido durante o processo de registro.
“Um invasor poderia fornecer o parâmetro de função com um recurso wordpress ou qualquer função de Membro Final personalizado e efetivamente ser concedido esses privilégios”, de acordo com o Wordfence. “Após a atualização do meta do usuário, o plugin verificou se o parâmetro de função foi fornecido. Nesse caso, algumas verificações foram processadas para verificar a função que está sendo fornecida.”
Para explorar isso, os atacantes poderiam enumerar qualquer função de Membro Final e fornecer um papel mais privilegiado ao se registrar no parâmetro de função, de acordo com o Wordfence. Ou, um invasor poderia fornecer um recurso específico, antes de mudar para outra conta de usuário com privilégios elevados.
“Em ambos os casos, se o acesso ao administrador wp foi habilitado para esse usuário ou função, então essa vulnerabilidade poderia ser usada em conjunto com a vulnerabilidade final”, explicaram os pesquisadores.
Esse último erro é um problema de escalada de privilégio autenticado de classificação crítica que classifica 9,9 de 10 na escala de gravidade. Ele existe devido à falta de verificações de capacidade na função de atualização de perfil do plugin, disseram os pesquisadores.
“Devido ao fato de que o Membro Final permitiu a criação de novas funções, este plugin também possibilitou que os administradores do site concedessem funções secundárias de Membro Final para todos os usuários”, explicaram. “Isso foi planejado para permitir que um usuário tenha privilégios padrão para uma função incorporada, como editor, mas também tenha privilégios secundários adicionais para estender recursos de um site de membros usando o Ultimate Member.”
Sempre que o perfil de um usuário é atualizado, a função Atualização de perfil é executada, que por sua vez atualiza a função de Membro Final para qualquer usuário.
“Essa função usada is_admin() sozinha sem uma verificação de capacidade, possibilitando que qualquer usuário forneça o campo pós-função um e defina sua função para uma de suas escolhas”, de acordo com o Wordfence. “Isso significava que qualquer usuário com acesso ao administrador wp à página profile.php, seja explicitamente permitido ou através de outra vulnerabilidade usada para obter esse acesso, poderia fornecer o parâmetro um-role com um valor definido para qualquer função, incluindo ‘administrador’ durante uma atualização de perfil e efetivamente aumentar seus privilégios para aqueles dessa função.”
Todos os três bugs permitem que os atacantes aumentem seus privilégios com muito pouca dificuldade, e a partir daí realizam qualquer tarefa em sites afetados.
“São vulnerabilidades críticas e graves que são fáceis de explorar”, segundo pesquisadores do Wordfence. “Portanto, recomendamos a atualização para a versão corrigida, 2.1.12, imediatamente.”
Plugins WordPress na Parada de Segurança
Plugins são um vetor de ataque consistente para ciberataques que miram em sites.
Na semana passada, uma vulnerabilidade de segurança no plugin welcart e-Commerce foi encontrada para abrir sites para injeção de código. Isso pode levar à instalação de skimmers de pagamento, queda do local ou recuperação de informações por injeção SQL, disseram os pesquisadores.
Em outubro, duas vulnerabilidades de alta gravidade foram divulgadas no Post Grid, um plugin wordpress com mais de 60.000 instalações, que abrem as portas para as aquisições do local. E em setembro, uma falha de alta gravidade no plugin de assinantes e boletins informativos por Icegram foi encontrada para afetar mais de 100.000 sites wordpress.
Mais cedo, em agosto,um plugin projetado para adicionar quizzes e pesquisas aos sites do WordPress corrigiu duas vulnerabilidades críticas. As falhas podem ser exploradas por invasores remotos e não autenticados para lançar ataques variados – incluindo assumir totalmente sites vulneráveis. Também em agosto, Newsletter, um plugin WordPress com mais de 300.000 instalações, foi descoberto ter um par de vulnerabilidades que poderiam levar à execução de códigos e até mesmo à aquisição do local.
E, pesquisadores em julho alertaram para uma vulnerabilidade crítica em um plugin wordpress chamado Comments – wpDiscuz, que está instalado em mais de 70.000 sites. A falha deu aos invasores não autenticados a capacidade de carregar arquivos arbitrários (incluindo arquivos PHP) e, finalmente, executar código remoto em servidores de sites vulneráveis.
FONTE: THREATPOST