20 Feb Vulnerabilidad en el plugin Duplicator afecta a más de 1 millón de WordPress
El 10 de febrero se detectó una vulnerabilidad importante en el plugin Duplicator, uno de los plugins más usados de WordPress por la posibilidad que ofrece de migrar con facilidad sitios que están en producción para generar un nuevo entorno de desarrollo, o para trasladar el sitio de un alojamiento a otro o simplemente una migración a modo de respaldo ya que nos devuelve nuestro sitio en un par de archivos que son de fácil restauración.
Esta vulnerabilidad en el plugin afecta a más de un millón de sitios que usan WordPress ya que los atacantes podían descargar de forma arbitraria los archivos generados por el plugin sin necesidad de usar ningún tipo de credenciales para ello.
El equipo del plugin de seguridad Wordfence afirma que aún existen cerca de medio millón de sitios que siguen con una versión vulnerable del Duplicator y es por esto que se hace necesario actualizar la versión a la 1.3.28 lo más pronto posible. Los usuarios de Wordfence, tanto premium como gratuitos, no se vieron afectados gracias al firewall integrado que tiene este poderoso plugin, pero de igual manera instan a todos los que tengan el Duplicator instalado que actualicen a la nueva versión estable del mismo, donde la posibilidad de exploit ha sido suprimida.
Pero ¿cómo ha sido posible este ataque?, muchos se preguntarán, y lo que sucede es que como bien sabemos, el Duplicator permite a los usuarios administradores de los sitios generar archivos portables de la base de datos y los archivos de nuestro WordPress, que pueden ser descargados desde nuestro panel siguiendo un link que se genera en el momento de ejecutar el Duplicator.
El problema se genera en este paso ya que el link que se genera es gestionado por una función que solo redirige la solicitud con la ruta del archivo sin hacer ningún tipo de verificación de identidad. Para complementar lo anterior también existe una función que carga de igual manera para usuarios registrados y no registrados al inicio, lo que hace que el plugin estuviese siempre disponible y escuchando nuevas solicitudes.
Lo anterior hace posible para los atacantes acceder a los archivos de respaldo generados por el Duplicator, sin haber pasado por ninguna fase de verificación de identidad, y lograr adueñarse de la data del sitio.
¿Es grave si se adueñan de mi data?
Lo grave del asunto es que al tener la base de datos y los credenciales de la anterior en su poder, los sitios quedan completamente expuestos ante los atacantes quienes podrían crear un nuevo usuario y hacerse con el sitio o simplemente recolectar toda la información contenida en nuestro sitio y hacerse con ella sin mucho esfuerzo.
Por esto le recomendamos a todos los usuarios de Duplicator que actualicen a su nueva versión 1.3.28 que cubre esta vulnerabilidad, aunque lo ideal sería instalarlo solo cuando sea necesario y luego desinstalarlo, ya que por la naturaleza del mismo es bastante atractivo para los hackers.
También es recomendable contar con un plugin de seguridad como Wordfence que contiene herramientas de firewall que protegen todo el sitio.
Si crees que fuiste atacado es crucial que cambies tus credenciales de la base de datos lo más pronto posible, o contactarnos para que gestionemos todos estos procedimientos y asegurarnos que tu información se encuentra intacta.
Sin comentarios