Se ha publicado una vulnerabilidad en un plugin ampliamente utilizado en el gestor de contenidos Wordpress. El fallo se ha detectado en el plugin “The Official Facebook Chat Plugin”, el cual está diseñado para añadir una ventana emergente de chat de Facebook (Messenger) a cualquier sitio de WordPress y conectar la página de Facebook elegida por el propietario del sitio para recibir mensajes e interactuar con los visitantes del sitio. Según el repositorio oficial de plugins de Wordpress, “The Official Facebook Chat Plugin” dispone de más de 80.000 instalaciones activas a día de hoy.
La vulnerabilidad se ubica en la función wp_ajax_update_options y se produce al existir una incapacidad para verificar una petición realizada por el administrador de la página. Al no tener comprobación de la petición, cualquier usuario autenticado puede acceder a las opciones del plugin de Facebook sustituyendo el chat de Facebook del propietario por el del usuario autenticado. De esta manera, un atacante podría suplantar un chat legítimo del administrador de la web y conseguir información confidencial de los usuarios a través de ingeniería social. Existe una prueba de concepto publicada por los investigadores que han reportado el fallo con un ejemplo de explotación de esta vulnerabilidad: https://youtu.be/rlgcBqLsSi8
Como resultado de la explotación, los atacantes podrían vincular su propia cuenta de Facebook Page Messenger, actualizando el ID de la página, a cualquier sitio que ejecutara el plugin, siempre y cuando pudieran registrarse en el sitio y acceder al panel de control de /wp-admin. El atacante recibiría entonces cualquier mensaje iniciado desde el chat de Messenger del sitio, y el propietario del sitio ya no recibiría ningún mensaje iniciado desde el chat.
La base de datos del NIST hasta el momento no ha asignado ningún CVE para esta vulnerabilidad por lo que no se conoce su criticidad en base a la escala CVSSv3. No obstante, los investigadores han calificado el fallo con un score de 7.4. Hasta la fecha tampoco se tiene conocimiento de reportes sobre actividad dañina en la red.
Recursos afectados:
- The Official Facebook Chat Plugin para Wordpress versión 1.5. y anteriores.
Solución a la vulnerabilidad:
Actualizar a la última versión de The Official Facebook Chat Plugin disponible, es decir, la 1.6, a través del enlace que se ofrece a continuación: https://downloads.wordpress.org/plugin/facebook-messenger-customer- chat.1.6.zip
Recomendaciones:
El CSIRT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Por el momento no se conocen medidas de mitigación alternativas a esta vulnerabilidad en caso de no ser posible aplicar la actualización descrita.
Referencias:
