 |
Los sitios de WordPress que utilizan Ninja Forms, un plugin de construcción de formularios con más de 1 millón de instalaciones, han sido actualizados en masa esta semana a una nueva versión que aborda una vulnerabilidad de seguridad crítica que probablemente se explota libremente. Se trata de una vulnerabilidad de inyección de código que afecta a varias versiones de Ninja Forms, a partir de la 3.0. |
Los sitios de WordPress que utilizan Ninja Forms, un plugin de construcción de formularios con más de 1 millón de instalaciones, han sido actualizados en masa esta semana a una nueva versión que aborda una vulnerabilidad de seguridad crítica que probablemente se explota libremente.
Se trata de una vulnerabilidad de inyección de código que afecta a varias versiones de Ninja Forms, a partir de la 3.0.
El analista de amenazas de Wordfence, Ramuel Gall, descubrió al hacer ingeniería inversa del parche que los atacantes no autenticados pueden explotar este error de forma remota para llamar a varias clases de formularios Ninja utilizando un fallo en la función Merge Tags.
Una explotación exitosa les permite tomar por completo los sitios de WordPress no parcheados a través de varias cadenas de explotación, una de las cuales permite la ejecución remota de código a través de la deserialización para tomar por completo el sitio web objetivo.
"Descubrimos una vulnerabilidad de inyección de código que permitía a los atacantes no autenticados llamar a un número limitado de métodos en varias clases de Ninja Forms, incluyendo un método que deserializaba el contenido suministrado por el usuario, lo que resultaba en una inyección de objetos", dijo Chloe Chamberland, líder de inteligencia de amenazas de Wordfence.
"Esto podría permitir a los atacantes ejecutar código arbitrario o eliminar archivos arbitrarios en los sitios en los que había una cadena POP independiente".
Aunque no ha habido un anuncio oficial, parece que la mayoría de los sitios web vulnerables ya han sido forzados a actualizarse según el número de descargas desde que se parcheó este fallo el 14 de junio.
Según las estadísticas de descargas de Ninja Forms, la actualización de seguridad se ha desplegado más de 730.000 veces desde que se publicó el parche.
Si el plugin aún no se ha actualizado automáticamente a la versión parcheada, también se puede aplicar manualmente la actualización de seguridad desde el panel de control (la última versión protegida contra ataques es la 3.6.11).
Los analistas de Wordfence también han encontrado pruebas que indican que este fallo de seguridad ya se explota en ataques en curso.
"Parece que WordPress ha realizado una actualización automática forzada para este plugin, por lo que es posible que su sitio ya esté utilizando una de las versiones parcheadas", añadió Chamberland.
Esto coincide con casos anteriores en los que Automattic, la empresa detrás del sistema de gestión de contenidos WordPress, utilizó actualizaciones forzadas para parchear rápidamente fallos de seguridad críticos utilizados por cientos de miles o millones de sitios.
Samuel Wood, un desarrollador de WordPress, dijo en octubre de 2020 que Automattic había utilizado actualizaciones de seguridad forzadas para impulsar "lanzamientos de seguridad para plugins muchas veces" desde el lanzamiento de WordPress 3.7.
Como el investigador de seguridad de Automattic Marc Montpas también dijo a BleepingComputer en febrero, el parcheo forzado se utiliza independientemente de la configuración de sus administradores en "casos muy raros y excepcionalmente graves."
Por ejemplo, en 2019, Jetpack recibió una actualización de seguridad crítica que abordó un error en la forma en que el plugin procesó el código incrustado.
Otras actualizaciones de seguridad forzadas abordaron un problema encontrado durante una auditoría interna del bloque de formularios de contacto de Jetpack en diciembre de 2018, un error crítico en la forma en que se procesaron algunos códigos cortos de Jetpack en mayo de 2016 y un problema de lógica de autenticación en junio de 2021.
Más recientemente, en febrero de 2022, 3 millones de sitios web que utilizaban el plugin de WordPress UpdraftPlus fueron parcheados a la fuerza para cerrar una vulnerabilidad que permitía a los suscriptores descargar las copias de seguridad de la base de datos.