jueves, 28 de junio de 2018

Un error en instalaciones estándar permite la eliminación de archivos en wordpress core.



By @raulrenales


En una instalación estándar de WordPress, cualquier usuario que haya iniciado sesión con un rol de autor o superior tiene la capacidad de cargar archivos multimedia adjuntos y editar sus metadatos, como imágenes y sus descripciones. Un error en el proceso de actualización de los metadatos de archivos adjuntos permite que un usuario malintencionado envíe datos no optimizados al definir una miniatura para el archivo multimedia. Al definir rutas relativas a archivos específicos como la "miniatura" de una imagen, estos archivos se eliminarían junto con las miniaturas reales cuando se elimine la imagen de la biblioteca multimedia.

El problema mas importante que causa es que se puede eliminar el archivo wp-config.php de un sitio. Sin wp-config.php en su lugar, WordPress se ve obligado a asumir que se está llevando a cabo una nueva instalación. A partir de este punto, el atacante puede configurar su propia instalación de WordPress consigo mismo como administrador, que luego puede usar para cargar y ejecutar cualquier otro script que desee.

¿Que hacer?

Inicialmente se esta esperando una actualización de urgencia que solucione el problema, por lo que hasta que esta llegue el trabajo de mitigar el problema ha caído en manos de los Firewalls. Algunos de los mas famosos como Wordfence ya han incluido reglas que solucione este problema.

Recuerde también que el error se produce para usuarios con permisos de autor o editor, con lo que una buena opción es revisar los permisos de nuestros usuarios temporalmente.

Recomiendo ver el informe de RIPSTECH para entender el problema en profundidad, puede acceder a él en los enlaces de las fuentes que muestro a continuación.





lunes, 15 de enero de 2018

AMT… funcionalidad y vulnerabilidad.


By SamuPA

Recientemente están dando mucho que hablar las vulnerabilidades aparecidas a primeros de año tanto para Intel, como también para AMD y ARM.  

No era poco lo que habíamos visto a lo que se une AMT en Intel.

¿Qué es AMT?

AMT (Active Management Technology) es una característica que nos ofrece Intel Core en procesadores con Intel vPro y algunos procesadores Intel Xeon, que fue creada para gestión remota. Pudiendo gestionar estos equipos tras un fallo de sistema operativo e incluso sin alimentación. 
Visto de esta forma, es una característica para poder facilitar la gestión, por ejemplo, en los equipos de una gran empresa que esté extendida a lo largo del mundo.


¿Cuál es problema?

Como hemos visto, AMT es más una característica para facilitar la labor de administración de equipos en una empresa, que, a su vez, es una funcionalidad que siendo mal ‘utilizada’ o ‘gestionada’ podría convertirse en una vulnerabilidad bastante dañina.

En mayo del 2017 se detectó una vulnerabilidad en algunas series del firmware, por la que sin conocer la contraseña del usuario admin de AMT, se podía bypasear la contraseña (CVE-2017-5689). Llevaba unos 10 años en los sistemas hasta que se detectó. Es vulnerable el firmware de la versión 6.0 a la 10.0 y podemos ver una PoC en:


Nuevamente el 12 de enero de 2018, F Secure ha hecho pública una nueva alerta. La mayoría de equipos portátiles corporativos podrían ser vulnerables, ya que por defecto llevan habilitada la funcionalidad AMT y la contraseña por defecto en todos los equipos es ‘admin’.


AMT se puede habilitar/deshabilitar en BIOS, por lo que para habilitarla la primera vez, suponiendo que no esté ya habilitada, necesitaremos un acceso físico al equipo y acceso a la BIOS. Lo que sucede normalmente, en los equipos portátiles corporativos, es que tienen habilitada esta característica y, a su vez, no se les ha cambiado la contraseña que viene por defecto desde Intel, esta contraseña es ‘admin’.

El ataque de por sí no es sencillo, ya que un atacante tendría que tener acceso físico a al equipo para poder configurar AMT, sin el cual no podría configurarlo.
¿Cómo se si tengo habilitado AMT?

Al arrancar el equipo, pulsando las teclas ‘ctrl’ + ‘p’ Accederemos al menú de Intel Management Engine BIOS (MEBx), esto ya es un indicativo de que AMT está habilitado. 


Otra forma para poder comprobar si AMT está habilitado es accediendo a nuestro BIOS.







¿Qué debo hacer si tengo habilitado AMT?

Si se va a hacer uso de AMT debe de configurarse el usuario con una contraseña ‘Fuerte’ y nuestro Firmware debe estar actualizado a uno que no haya sido detectado como vulnerable.

Como norma general, suponiendo que no se hace uso de esta característica, las recomendaciones son poner una contraseña fuerte y a su vez deshabilitar AMT desde BIOS, si nuestro BIOS está configurado con contraseña, mejor que mejor.