Manuel Garcia Cardenas y Sergio Castro nos comparten en el #DragonJARCON 2020 una charla titulada "WordPress, another terror story" cuya descripción es:
En esta charla, sacaremos unas conclusiones generales sobre deficiencias en los plugins subidos y haremos unas recomendaciones al equipo de Wordpress de forma desinteresada de cara a mejorar la seguridad de los plugins albergados en su pagina.","description":"El uso de este CMS hace que cuando se detecta una vulnerabilidad en el core de la aplicación tiemble Internet, cuando es utilizado para realizar ataques de DDoS, Phising, etc, sin embargo, no debemos dejar otro punto de lado y estos son los plugins utilizados por el core, los cuales son el principal foco de ataque para intentar atacar este más que conocido CMS.Por nuestra parte, de forma desinteresada hemos realizado un análisis de todos los plugins que se proporcionan públicamente en la web oficial de Wordpress, de cara a conocer si existe algún análisis previo a alto nivel donde se den pautas a los programadores si su código es vulnerable o no, poniendo en peligro la aplicación.Por último, mostraremos cómo hemos realizado este análisis mostrando una aplicación de análisis y expondremos ejemplos de plugins vulnerables, dejando paso a una ronda de preguntas final para conocer dudas y opiniones de cara a continuar con el proyecto.
-----------------------------------------------------------------------------------------------
Youtube: DragonJARtv (http://bit.ly/DragonJARtv)
Facebook: La.Comunidad.DragonJAR (http://bit.ly/DragonJARfb)
Twitter: @DragonJAR (http://bit.ly/DragonJARt)
Instagram: Dragon.JAR (http://bit.ly/DragonJARig)
Discord: https://invite.gg/DragonJAR
Blog: Comunidad DragonJAR (http://bit.ly/DragonJAR)
-----------------------------------------------------------------------------------------------
3. AGENDA
🎃Introducción
🎃Uso de WordPress como CMS
🎃Vectores de ataques
🎃Metodología y Análisis de plugins
🎃Infraestructura para análisis
🎃Análisis de resultados obtenidos
🎃Colaboración con WordPress
🎃Conclusiones
5. “WordPress es utilizado por el
62.6% de todos los sitios web
CMS.
Este es el 35.9% de todos los
sitios web.”
Uso de Wordpress como CMS
Fuente: w3techs.com
6. Uso de Wordpress como CMS
Fuente: https://wordpress.org/download/counter/
7. Vectores de ataque
“Un popular plugin de WordPress con más de 200,000 instalaciones
activas contiene una vulnerabilidad de tipo alto y fácil de explotar
que, si no se parchea, podría permitir que los atacantes, no
autenticados comprometan una amplia gama de sitios web y blogs.”
ThemeGrill Demo Importer
Fuente: https://thehackernews.com/2020/02/themegrill-wordpress-plugin.html
8. Vectores de ataque
“Fallo en el complemento de WordPress ‘ Rank Match’ permite revocar
privilegios de administrador. Los investigadores han descubierto dos
vulnerabilidades en el complemento SEO de WordPress, Rank Math, que
cuenta con más de 200,000 instalaciones”
Rank Math
Fuente: https://unaaldia.hispasec.com/2020/04/fallo-en-el-complemento-de-wordpress-rank-
match-permite-revocar-privilegios-de-administrador.html
9. Vectores de ataque
“700.000 usuarios de WordPress afectados por la vulnerabilidad de
0day en el complemento de gestión de archivos, permitiendo a usuarios
no autenticados ejecutar comandos y cargar archivos maliciosos”
File Manager
Fuente: https://www.wordfence.com/blog/2020/09/700000-wordpress-users-affected-by-
zero-day-vulnerability-in-file-manager-plugin/
17. Categorías
Acceso local a ficheros
require
require_once
include
include_once
fread
file
readfile
file_get_content
Ejecución de código
system
exec
eval
shell_exec
Cross-Site Scripting
echo
print
Metodología y Análisis de plugins
20. Manos a la obra 100tifikos …
Infraestructura para análisis
21. WordPressTerror
🎃Descarga vía SVN
🎃Inventario de plugins
🎃Inventario de categorías
🎃Análisis de vulnerabilidades
🎃Presentación en cuadro de mando
🎃Cientos de 0days for fun :D
Infraestructura para análisis
22. Y sobre todo …
Infraestructura para análisis
REGEX
23. Hebras (uno no
era suficiente)
Infraestructura para análisis
REGEX
REGEX
REGEX
REGEX
REGEX
REGEX
REGEX
REGEX
25. resultados
Acceso local a ficheros 24
Ejecución remota de código 6
Cross-Site Scripting 163
Inyección sql 4.513
Open redirect 137
Manipulación de ficheros 6
Análisis de resultados obtenidos
26. 1.775 plugins vulnerables
Tienen código aparentemente vulnerable
84.508 total
Análisis de resultados obtenidos
5.419 vulnerabilidades
32. Uso
CMS mas utilizado del mundo.
Ataques
Multitud de vectores de
ataque por el amplio uso de
plugins.
Plugins
No existen controles de
seguridad en los plugins que
los usuarios suben a la web
oficial de WordPress.
Vulnerabilidades
SQL Injection gana por
goleada.
Reporte
Hemos informado al equipo
de Seguridad de WordPress
de vulnerabilidades que
podrían notificar a los
desarrolladores.
A futuro…
Seguir mejorando
WordPressTerror para que
sea útil cara a ayudar a la
comunidad de WordPress.
Conclusiones