El dia cero permitiría a un atacante obtener el enlace de restablecimiento de contraseña bajo ciertas circunstancias.
El experto en seguridad polaco Dawid Golunski publicó sus hallazgos el 3 de mayo, después de informar la falla del equipo de seguridad de WordPress en julio del 2016.Después de más de diez meses no hay progreso, Golunski decidió públicar e informar a los propietarios de sitios de WordPress de este problema para que pudieran proteger sus sitios por otros medios.
Día cero puede alterar los parametros "From" y "Return Path"
La cuestión, seguido a través del identificador CVE-2017-8295, afecta a todas las versiones de WordPress y se relaciona con la forma en sitios de WordPress solucionan el restablecimiento de contraseñas de correos electrónicos.De acuerdo con Golunski, un atacante puede crear una solicitud HTTP malicioso que desencadena una operación de restablecimiento de contraseña contaminada mediante la inyección de una variable SERVER_NAME personalizada, como "attacker-domain.com".
Esto significa que cuando el sitio de WordPress pone juntos el mensaje de restablecimiento de contraseña, el campo "From" y "Return Path" estos valores serán en forma de "wordpress@attacker-domain.com".
La mayoría de los usuarios pensarían que este día cero es inútil, ya que el atacante no podría lograr nada más que enviar un mensaje de restablecimiento de contraseña para el propietario del sitio legítimo, pero a partir de la dirección del remitente equivocado.
Esto puede ser muy peligroso. Golunski detalla algunos escenarios en los que un atacante podría aprovechar este día cero.
Por ejemplo, el atacante podría inundar el buzón de correo electrónico del propietario del sitio con correos electrónicos basura. Cuando llega el mensaje de restablecimiento de contraseña corrompido, porque la bandeja de entrada del usuario legítimo estaría lleno, el servidor de correo electrónico podría devolver el correo electrónico de vuelta a su remitente, que en este caso sería el valor contaminada "Return-Path", es decir, correo electrónico del atacante.
Otro escenario de ataque, más fácil de llevar a cabo, sería cuando el propietario de un sitio esta de vacaciones. Si el administrador del sitio ha permitido una respuesta automática "fuera de la oficina", si el auto-respuesta incluye el correo electrónico original, entonces el atacante obtiene el mensaje de restablecimiento de contraseña con un mínimo esfuerzo.
Otros escenarios de ataque descritos por Golunski requieren ingeniería social, por lo que hay una baja probabilidad de tener éxito con los que va a propietarios de sitios web con experiencia.
Estos escenarios complejos de explotación son muy probablemente la razón principal por la que el equipo de WordPress no ha dado prioridad a parchear este problema hasta ahora.
Algunas soluciones para mitigar esta posibilidad de dia cero
"Como una solución temporal los usuarios pueden habilitarUseCanonicalName para hacer cumplir el valor SERVER_NAME estática", propone Golunski.
En Reddit, otros usuarios también recomiendan que los propietarios del sitio "crear un host virtual ficticia que atrapa todas las solicitudes con encabezados de host no reconocidos."
Golunski dio a conocer detalles sobre otro método para explotar sitios WordPress a través de una ejecución de código remoto falla en la biblioteca PHPMailer , una biblioteca incluido con el código fuente núcleo WordPress. Este problema salió a la luz a principios del 2017, pero sólo ahora Golunski reveló más detalles sobre el mecanismo de explotación contra los sitios de WordPress.
Fecha actualización el 2017-5-4. Fecha publicación el 2017-5-4. Categoría: Wordpress. Autor: Oscar olg Mapa del sitio Fuente: bleepingcomputer