Entradas

Nueva actualización de seguridad para WordPress (v4.7.3)

Logo WordPress

El día de ayer se ha hecho pública una actualización para WordPress que busca solucionar seis vulnerabilidades de tipo Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF), eliminación accidental de archivos y validación en la redirección de URL’s.

Tres de estas vulnerabilidades son de tipo Cross-Site Scripting, y pueden pueden ser explotadas a través de metadatos de archivos de medios, de la URL de videos en incrustados de YouTube y nombres de términos de taxonomías; la vulnerabilidad de tipo CSRF puede llevar a un consumo excesivo de recursos en el servidor. Todas las versiones de WordPress 4.7.2 y anteriores están afectadas.

Además de los problemas de seguridad mencionados anteriormente, en esta actualización se incluyen 39 ajustes de mantenimiento para toda la serie de versiones 4.7.

Se recomienda a todos los usuarios de WordPress actualizar a la última versión de este sofware desde el sitio oficial o desde el dashboard: Actualizaciones (Updates), Actualizar Ahora (Update Now).

Si te interesa este tipo de contenido y no quieres perderte nuestros artículos, puedes registrarte para recibir notificaciones de contenido nuevo en tu correo, o darle like a nuestra Facebook Page. Para conocer nuestros planes de hosting ingresa hosting.smartbox.host.

No olvides comentar ?

 

Denegación de servicio en OpenSSL

Logo Open SSL

El día 16 de febrero se ha publicado una nueva versión de OpenSSL que busca corregir una vulnerabilidad de tipo Denegación de Servicio o DoS (por su siglas en inglés) de severidad alta.

OpenSSL es un proyecto open source que provee un completo kit de herramientas, robusto y de grado comercial, para los protocolos Transport Layer Security (TLS) y Secure Sockets Layer (SSL), además de ser una biblioteca criptográfica de propósito general.

La vulnerabilidad reside en que, si durante una renegociación, la extensión Encrypt-Then-Mac está presente, pero no lo estaba en la negociación original (o viceversa), esto puede causar el bloqueo de OpenSSL (dependiendo de la suite de cifrado). Tanto los clientes como servidores se ven afectados.

La vulnerabilidad ha sido identificada con CVE-2017-3733. Se recomienda actualizar la librería OpenSSL a la versión 1.1.0e. Esta vulnerabilidad no afecta la versión 1.0.2. Además, se recuerda que el soporte para la versión 1.0.1 finalizó el 31 de diciembre de 2016, y que el soporte para las versiones 0.9.8 y 1.0.0 finalizaron el 31 de diciembre de 2015, dichas versiones no recibirán mas actualizaciones de seguridad.

Más información en: https://www.openssl.org/news/secadv/20170216.txt.

En SmartBox este tipo de actualizaciones se incluyen en nuestro servicio y las gestionamos por ti, consulta con tu proveedor de servicios de hosting actual si ya ha aplicado la actualización requerida.

Si te interesa este tipo de contenido y no quieres perderte nuestros artículos, puedes registrarte para recibir notificaciones de contenido nuevo en tu correo, o darle like a nuestra Facebook Page. Para conocer nuestros planes de hosting ingresa hosting.smartbox.host.

No olvides comentar ?

 

Ataques Cross-Site Scripting (XSS)

Corss-Site Scripting

En este artículo vamos a conocer qué son los ataques Cross-Site Scripting (XSS), en qué consisten, qué riesgo implican y qué tipos de ataque existen. En un artículo posterior veremos cómo podemos defendernos de este tipo de ataques.

Si te interesa este tipo de contenido y no quieres perderte nuestros artículos, puedes registrarte para recibir notificaciones de contenido nuevo en tu correo.

Qué es XSS

Cross-Site Scripting es un tipo de ataque de inyección de código, cuyo objetivo fundamental es lograr la ejecución de código JavaScript malicioso del lado del cliente, en el contexto del explorador web. Este tipo de ataques pueden ser dirigidos o no, dependiendo del tipo de ataque XSS que se esté explotando.

En qué consiste un ataque XSS

Los ataques XSS son posibles gracias a la existencia de sitios web vulnerables. En este tipo de ataques, el atacante explota un sitio web vulnerable para conseguir que dicho sitio web entregue el contenido JavaScript malicioso por él, de esta forma, un visitante que llegue al sitio web comprometido recibirá el contenido JavaScript malicioso directamente desde el sito web. El explorador web de la víctima no sabrá que el contenido entregado por el sitio web contiene código JavaScript malicioso, ya que desde su punto de vista, el contenido se origina de forma legítima en el sitio web. Así, pues, el sitio web se ve involucrado de forma involuntaria en el ataque.

Riesgos

A primera vista se podría pensar que este tipo de ataques no implican mucho riesgo para las víctimas, ya que el código JavaScript se ejecuta normalmente del lado del cliente, y los exploradores web controlan el nivel de acceso que dicho código tiene sobre la computadora y los datos del usuario, pero el nivel de peligrosidad de estos ataques se hace evidente cuando se analizan con detenimiento. Ya sabemos que el código malicioso se ejecuta en el contexto del explorador web de la víctima, y en este contexto el código malicioso puede realizar peticiones HTTP a través de objetos XMLHttpRequest, acceder a información sensible de la víctima, como la información almacenada en las cookies, y modificar la página actual con métodos de manipulación del Document Object Model (DOM).

Para ilustrar los riesgos de este tipo de ataques considere el siguiente escenario:

Un atacante logra explotar un sitio web vulnerable e inyecta código JavaScript malicioso en dicho sitio web. Este sitio web es uno de sus sitios preferidos, el cual usted visita con frecuencia.

Ahora considere las siguientes opciones que puede realizar dicho código JavaScript, todas ellas verdaderas:

  • El código malicioso inyectado modifica el DOM de la página de tal forma que genera un formulario de forma dinámica ofreciendo algún beneficio por registrarse; usted diligencia el formulario y al hacer click para enviar los datos del formulario, sus datos son enviados al servidor del atacante usando una petición HTTP en vez de ser enviados al servidor legítimo.
  • El código malicioso inyectado se ejecuta en su navegador web y accede a los datos de su cookie a través de la propiedad document.cookie, luego, a través de una petición HTTP, envía estos datos al servidor remoto del atacante, el atacante puede usar estos datos para suplantarlo a usted en el servidor legítimo.
  • El código malicioso inyectado registra un escuchador de eventos para los eventos del teclado, así, cada vez que usted pulsa una tecla en su computadora, el escuchador de eventos registra la tecla pulsada, almacenando de esta manera todo lo que usted digita en su teclado, luego, estos registros son enviados al servidor remoto del atacante.
Tipos de ataque

Anteriormente estos ataques se clasificaban en tres categorías:

  • XSS almacenados (persistentes o tipo I). Este tipo de ataques almacenan el código JavaScript malicioso de forma permanente en el servidor, en una base de datos, mensaje de foro, etc. Cuando la víctima solicita la página que contiene el código malicioso, este se descarga y se ejecuta. Actualmente, este tipo de ataques puede almacenar el código malicioso de forma permanente del lado del cliente, en el explorador web.
  • XSS reflejados (no persistentes o tipo II). Este tipo de ataques ocurren cuando los datos ingresados por el usuario son retornados inmediatamente a manera de respuesta por la aplicación web, de manera total o parcial, como en el caso de un mensaje de error o el resultado de una búsqueda.
  • XSS basado en DOM (tipo 0). En este tipo de ataque todo el flujo de datos maliciosos se da en el explorador web, es decir, el código HTML no contiene el código malicioso, en vez de esto, el código malicioso se genera y se ejecuta de forma dinámica en el tiempo de ejecución, y solo puede ser observado analizando el DOM de la página.

Actualmente, este tipo de ataques se organizan en dos grupos:

  • XSS de servidor. Este tipo de ataque ocurre cuando una entrada de datos no confiable proporcionada por el usuario es usada por el servidor web para generar una página HTML y enviarla al explorador web. El origen de esta entrada de datos puede ser una petición web por parte del usuario o información almacenada por el servidor. De esta forma, la vulnerabilidad se da por completo del lado del servidor, y el explorador web simplemente interpreta la página enviada por el servidor y ejecuta cualquier JavaScript incrustado en ella. Como se puede ver, existen XSS de servidor reflejados y XSS de servidor almacenados.
  • XSS de cliente. Este tipo de ataques ocurre cuando una entrada de datos no confiable proporcionada por el usuario es usada para actualizar el DOM por una llamada de JavaScript insegura. Una llamada de JavaScript se considera insegura si esta puede ser usada para introducir código JavaScript válido dentro del DOM. El origen de esta entrada de datos puede ser el DOM o  el servidor (vía una llamada AJAX o carga de página). El último origen de estos datos puede ser de una petición o de una ubicación almacenada en el cliente o en el servidor. Como se puede ver, existen XSS de cliente reflejados y XSS de cliente almacenados.

Hemos llegado al final de nuestro primer artículo sobre ataques XSS, ahora tenemos una visión general de este tipo de ataques y sabemos en que consisten. En nuestro siguiente artículo veremos como protegernos contra este tipo de ataques.

Si te interesa este tipo de contenido y no quieres perderte nuestros artículos, puedes registrarte para recibir notificaciones de contenido nuevo en tu correo, o darle like a nuestra Facebook Page. Para conocer nuestros planes de hosting ingresa hosting.smartbox.host.

No olvides comentar ?

Nueva actualización de seguridad para WordPress.

Logo WordPress

Hace algunos días se ha hecho pública una actualización para WordPress que busca solucionar cuatro vulnerabilidades de tipo exposición de información, inyección de SQL, cross-site scripting y escalación de privilegios.

La primera vulnerabilidad reside en la interfaz de usuario para asignar términos de taxonomía en Press; esto se muestra a usuario que no tienen permisos para usarlo. Por otra parte, WP_Query es vulnerable a inyección de SQL cuando se le pasan datos inseguros; el core de WordPress no es directamente vulnerable a este problema, pero se han agregado medidas de seguridad para prevenir que plugins y temas causen vulnerabilidades accidentalmente. Adicionalmente, una vulnerabilidad de tipo cross-site scripting fue descubierta en la tabla de lista de posts. Finalmlente, una vulnerabilidad de escalación de privilegios sin autenticación fue descubierta en un punto final de la API REST.

Se recomienda a todos los usuarios de WordPress actualizar a la última versión de este sofware desde el sitio oficial o desde el dashboard: Actualizaciones (Updates), Actualizar Ahora (Update Now).

Si te interesa este tipo de contenido y no quieres perderte nuestros artículos, puedes registrarte para recibir notificaciones de contenido nuevo en tu correo, o darle like a nuestra Facebook Page. Para conocer nuestros planes de hosting ingresa hosting.smartbox.host.

No olvides comentar ?