Están intentando robar las tarjetas de crédito almacenadas en instalaciones de Magento

Los datos almacenados por las tiendas electrónicas se han convertido en algo muy codiciado por hackers y cibercriminales, que buscan debilidades y fallos de seguridad en ese tipo de CMS para hacerse, sobre todo, con los datos de pago y las contraseñas de los usuarios.

Eso es lo que está pasando con Magento, e-commerce que según la empresa de ciberseguridad Sucuri está captando la atención de hackers que intentar robar datos como tarjetas de crédito y credenciales de PayPal. Siendo más concretos, hay un agente que se dedica a infectar sitios web Magento con un ladrón de tarjetas de crédito.

Uno de los métodos empleados por los hackers para conseguir los datos mencionados en el párrafo anterior consiste en añadir código adicional en la instalación del CMS. Los investigadores de Sucuri han descubierto una función sospechosa llamada “patch()” en el fichero “includes/config.php”, que nunca debe ser modificado de forma directa por el usuario por cuestiones de seguridad. Las invocaciones a la mencionada función se dedican a escribir contenido obtenido de fuentes externas en archivos específicos relacionados con el proceso de pago o el control de los usuarios.

/app/code/core/Mage/Payment/Model/Method/Cc.php
/app/code/core/Mage/Payment/Model/Method/Abstract.php
/app/code/core/Mage/Customer/controllers/AccountController.php
/app/code/core/Mage/Customer/controllers/AddressController.php
/app/code/core/Mage/Admin/Model/Session.php
/app/code/core/Mage/Admin/Model/Config.php
/app/code/core/Mage/Checkout/Model/Type/Onepage.php
/app/code/core/Mage/Checkout/Model/Type/Abstract.php

Los atacantes recurren a distintas vías para esconder enlaces externos de forma que no sean fáciles de detectar para las personas que carecen de los conocimientos necesarios. El código malicioso introducido ofusca enlaces externos de manera que una simple decodificación de reemplazo de variables en conjunto con la función base64 puede hacerlos legibles.

Un ejemplo de esto sería lo siguiente. Este es el código legítimo:

$link_a = $link.'YTGgAnrv'

Que pasaría a ser este otro, apuntando a Pastebin:

$link_a = 'hxxp://pastebin[.]com/raw/YTGgAnrv';

Esto quiere decir que el código malicioso ejecutado por el CMS atacado procede de Pastebin, una aplicación web que permite a sus usuarios subir pequeños textos, generalmente ejemplos de código fuente, para que estén visibles al público en general. Los expertos de Sucuri informan que se está usando este método para mantener un perfil bajo en los ataques y hacer su detección más difícil. Para dificultar la detección, los hackers incluyen la invocación “error_reporting(0);” para evitar el reporte de errores y así exponer la infección.

El código alojado en Pastebin forma parte del proceso de robo de información comprometedora como las tarjetas de crédito o las contraseñas de los usuarios, datos que luego son enviados a dominios externos para su procesamiento o venta.

Los expertos de Sucuri recomiendan verificar el fichero “/includes/config.php” lo antes posible, algo a lo que hay sumar la comprobación de otros malware que puedan estar afectando a la instalación de Magento y que pueden incluir puertas traseras.

Fuente | Muy Seguridad

My #WordPress in Paranoid Mode #WPM

Siempre es un buen momento para compartir algo de información, hoy les quiero dejar una reciente conferencia de Chema Alonso en el Open Expo 2016 en donde se integra Latch como doble facto de autorización en algunas Query dentro de #WordPress.

Figura 1: WordPress in Paranoid Mode

La herramienta se llama WPM y es un muy bonito juguete creado junto a Pablo Gonzalez permite integrar controles de Latch dentro de Triggers que se disparan al momento en que WordPress desea realizar alguna acción, como por ejemplo la de publicar algún comentario o la simple autenticacion de un usuario.

Todo esto contado al estilo Chema en una excelente conferencia.

Ademas es posible descargarse y utilizar WPM dentro del repositorio de GitHub para realizar algunas pruebas y llegar a implementarlo en los propios proyectos.

Saludos!

Enlace / WPM WordPress in Paranoid Mode

5 recomendaciones si vas a instalar WordPress

La verdad que por estos tiempos, la popularidad de WordPress superó todas las fronteras de Internet, realmente es incalculable la cantidad de sitios que utilizan este gestor de contenidos para administrar y manejarse en la web.

Estoy seguro que su gran popularidad alcanzada esta dada por su simpleza, escalabilidad, extensión, compromiso con sus usuarios y toda su comunidad.

En este breve artículo, quería recomendar 5 cosas que deberían hacer si van a instalar WordPress en un servidor de Producción.

1. Descargar la última versión estable de WordPress de su sitio oficial, actualmente lo podemos encontramos en muchos  idiomas.
2. No utilicen Plugins que se encuentran desatendidos o desactualizados, nos pueden dar muchos dolores de cabeza a lo largo del tiempo y pueden ser incompatibles con nuevas versiones.
3. Eliminen aquellos archivos que WordPress no necesita para ser ejecutado.
4. No dejen absolutamente nada de sus configuraciones por defecto, wp-config, permisos en directorios, contraseñas, usuarios, etc. es mejor tomarse el tiempo y revisar todas las configuraciones, no solamente la primera vez, sino que sea un hábito de revisión.
5. Respecto a los Themes que van a usar, verifiquen los trabajos que tiene su diseñador, las recomendaciones que hay en Internet sobre ese estilo, intenten leer su código fuente en búsqueda de malware o de ofuscación de código, consulten en foros o a gente que conoce del tema.

Todo esto de ninguna manera garantiza la seguridad en su sitio, lo que si les aseguro que van a ir disminuyendo los posibles vectores de ataques que puede sufrir su web.

Por otro lado, tomen esto como un ejercicio diario, un verdadero trabajo profesional que requiere ser visto y mantenido periódicamente.

Saludos!

Actualización de seguridad, WordPress 3.5.2

Desde hace algunas horas, se encuentra disponible WordPress 3.5.2, la segunda actualización importante de la rama 3.5 que corrige 12 errores detectados, recordemos que su última actualización fue en el mes de enero y hasta entonces estaban trabajando en estas mejoras.

En el blog oficial de WordPress, afirma que el equipo de seguridad resolvió siete problemas de seguridad y esta nueva edición contiene algo de seguridad adicional.

Entre las cuales podemos mencionar:

• Bloqueo de ataques de peticiones falsas desde el servidor, que podrían permitir a un atacante tener acceso a una web.
• Desactiva que los perfiles de Colaborador puedan publicar entradas o que se cambie la autoría de entradas.
• Se ha actualizado la librería externa de SWFUpload para solucionar vulnerabilidades XSS, realmente peligrosas.
• Se añade protección contra ataques de denegación de servicio (DDOS) que podría estar afectando a entradas protegidas por contraseña.
• Se ha actualizado la librería externa del editor TinyMCE para solucionar una vulnerabilidad XSS.
• Una buena cantidad adicional de soluciones a XSS.
• Ahora no se permite la visualización de la ruta completa a un archivo cuando falla la carga del mismo.

What is that Website? con WhatWeb

Buscando herramientas para obtener más información de las web que habitualmente auditamos, me encontré con WhatWeb, una herramienta que su mismo nombre lo indica y que nos va a permitir realizar Fingerprinting de una web.

WhatWeb tiene la particularidad de identificar webs que están realizadas con alguno de los CMS más populares como WordPress, Joomla!, phpBB o Drupal, además permite identificar versiones de librerías JavaScript, Geolocalización de dominios, identificación de etiquetas HTML, Servidores Web y más de 900 plugins para extender su funcionalidad.

Actualización de Seguridad, WordPress 3.5.1

Desde ayer, 24 de Enero ya se encuentra la primera versión de mantenimiento de la rama "3.5" de WordPress 3.5.1 que corrige 37 errores de las que incluyen:

• Escaneo de puertos remotos utilizando pingback, esta vulnerabilidad podía ser utilizado para exponer la información y comprometer un sitio, cuidado aquí por que afecta a todas las versiones anteriores.
• Dos vulnerabilidades XSS detectados en los Shortcodes y en los contenidos de los Post.
• Una vulnerabilidad más XSS detectada en la librería externa Plupload que ya solventado.

WordPress 3.5.1 es la primera actualización del 2013 luego de haber liberado la versión 3.5 “Elvin” los primeros días de diciembre luego de varias RC.

Por eso, si utilizas WordPress para tus proyectos en la web, es indispensable que actualices cuanto antes esta nueva versión de seguridad.

Enlace | WordPress 3.5.1

Seguridad en WordPress: Publicación Remota con XML-RPC

Esta es una de esas funcionalidades fantásticas que tienen las plataformas como WordPress pero sin embargo nadie las utiliza, por la sencilla razón de que hoy en día existen otros medios para hacerlo, la gente se acostumbró mucho a utilizar las redes sociales para publicaciones espontáneas, para publicar en WordPress más del 90% lo hace por el panel de WordPress.

La idea detrás del XML-RPC era darnos la posibilidad de escribir y publicar un Post en WordPress, ya sea desde un correo electrónico o cualquier otra conexión externa.

XML-RPC se encuentra en WordPress casi desde sus inicios, y lo acompañó a lo largo de todas sus actualizaciones, es más si nos remontamos al pasado podríamos recordar fallos relacionados a XML-RPC que comprometieron de forma directa el CMS:

• WordPress 1.5.1.2 xmlrpc Interface SQL Injection Exploit
• WordPress 2.1.2 (xmlrpc) Remote SQL Injection Exploit
• WordPress 2.2 (xmlrpc.php) Remote SQL Injection Exploit
• WordPress 3.0.2 XML-RPC Interface Access Restriction Bypass

Hoy por hoy todos fallos conocidos y solucionados por la comunidad del CMS pero que en algún momento fueron una alarma de seguridad para el proyecto.

Actualización crítica de seguridad, Joomla! 3.0.1 y 2.5.8

Por estos últimos días, se hizo público 2 actualizaciones importantes para el sistema de gestión de contenido Joomla! en sus últimas versión liberadas 3.0.1 y 2.5.8

Estos nuevos parches de seguridad solucionan vulnerabilidades de clickjacking y de ejecución y explotación de ataques XSS.

Definitivamente este tipo de ataques van a seguir apareciendo conforme pase el tiempo, es por ello que todos los que utilicen estos sistemas, toda la recomendación y la prudencia de actualización paulatina tanto del motor en esta caso Joomla! Como así también de todos y cada uno de sus componentes utilizados. De lo contrario teniendo esta información va a ser posible saltearse estos fallos conocidos por cualquier posible atacante.

Enlace | Joomla! 3.0.2 released y Joomal! 2.5.8 released

Guía básica para securizar WordPress

Hasta el día de hoy sigo con la postura de que uno de los mejores CMS que utilicé es WordPress, no solamente por lo simple de su instalación y administración, sino también por el compromiso para con sus usuarios y las políticas de seguridad que llevan siempre.

Esto no significa que WordPress sea el más seguro o el mejor, sino todo lo contrario, es bueno creer que todas las cosas que están publicadas en Internet corren un gran riesgo y se requiere de un gran compromiso para mantenerlas actualizada.

Para ello encontré una guía publicada en Septiembre de este año por INTECO que nos va a ayudar para securizar nuestro WordPress, pasando por diferentes temas como los servicios de Hosting, la instalación de WordPress, su configuración básica, copias de seguridad y las nuevas funcionalidades que podemos incorporar a nuestro CMS.

Actualización de Seguridad, WordPress 3.4.2

Anoche 06 de Septiembre, casi a última hora, liberaron una nueva actualización de seguridad de WordPress 3.4.2 corrigiendo más de 18 bugs reportados de su versión anterior.

Algunas de sus actualizaciones soluciona:

• Problemas con navegadores antiguos en el área de administración
• Un problema por el que algunos temas no se previsualizaban correctamente, o no se mostraba su captura de pantalla.
• Mejoras de compatibilidad de plugins con el editor visual.
• Arregla problemas de paginación con algunas estructuras de enlaces de categorías.
• Evita errores tanto con trackbacks como con algunos proveedores de o Embed.
• Evita que se carguen tamaños de imagen de cabecera de tamaños inadecuados.
• Soluciona una vulnerabilidad de subida potencial de privilegios.
• Soluciona una vulnerabilidad que afecta a instalaciones multisitio en relación a usuarios no fiables.

Fingerprinting en Wordpress: Parte V

Vamos llegando al final de la recopilación de información sobre WordPress y hasta aquí revisamos varias técnicas manuales para ir indagando y obteniendo información precisa sobre el CMS instalado, versiones, plugins, etc.

Es posible ir automatizando estas tareas gracias a la herramienta WPScan programada en Ruby y que realmente utilizando unas opciones básicas por defecto nos va a revisar la información de WordPress.

Actualización de Seguridad, Joomla! 2.5.5

Todos los días me gusta mucho informarme sobre los nuevos fallos de seguridad y las cosas que vivimos en materia de informática, y les puedo asegurar que es un trabajo que lleva varias horas de lectura pero que al final del día es muy satisfactorio aprender y conocer sobre el dinamismo constante del día a día.

Entre las cosas que leí y que realmente se da mucha repercusión son las actualizaciones de los CMS, en este caso Joomla! 2.5.5 corrigiendo 2 fallos de seguridad muy críticos descubiertas hace muy poco, que aparentemente permitiría a un atacante revelar información sensible y escalar privilegios.

Fingerprinting en Wordpress: Parte IV

Hoy les propongo retomar el ejercicio de copilar información que nos brinda los Sistemas WordPress, pero en esta ocasión vamos a buscar información sobre el servidor que atiende esta pagina web.

WordPress es un CMS de tipo multiplataforma como gran característica, programado en PHP, sabemos que todos o por lo menos la gran mayoría de los servidores Web que atienden paginas HTTP lo hacen por su puerto 80, la idea es utilizar una herramienta como telnet para que el mismo servidor nos brinde esa información.

Actualización de Seguridad, Drupal 7.14

Es que el mundo de la seguridad informática tiene eso que nos mantiene tan atrapado, y es la cantidad de actualizaciones que diferentes software que utilizamos a diarios aparecen día a día.

En este caso, en la lectura diaria que llevo, visitando daboweb, un sitio que acostumbro a informarme, nos acerca la actualización de seguridad de otro de los CMS más utilizados en Internet, Drupal 7.14

Al parecer según el anuncio oficial, Drupal después de una sucesión de actualizaciones en estos últimos días corrige una vulnerabilidad crítica del tipo DoS, obviamente que afecta a las anteriores versiones que la actual publicada.

Fingerprinting en Wordpress: Parte III

Una vez más, vamos a intentar sacar un poco más de información de nuestro querido WordPress, que por estas fechas estuvo realizando unas actualizaciones de seguridad en algunos de sus piezas fundamentales.

La idea de hoy es intentar sacar algo de información de los Plugins que tiene instalado estos WordPress, recuerden que estos plugins permiten ampliar las funcionalidades, agregar nuevas vistas, shortcodes, funciones, librerías, etc.

La comunidad de WordPress se hizo muy famosa por la cantidad de Plugins publicados por sus usuarios, y este desde el punto de vista de la seguridad tiene dos caras, la primera es que es muy difícil seguir la huella a cada uno de los plugins por su diversidad y la otra es que no todos los plugins publicados son de buena calidad.

En algunos casos tenemos la suerte de contar con programadores muy buenos donde se podría decir que sus plugins son realmente probados y aceptados por la comunidad, pero como bien decía, es muy difícil llevar el control de todo el universo de plugins que existe para WordPress.

Actualización de Seguridad, WordPress 3.3.2

Acostumbro a seguir la actualización día a día de algunso CMS de los más populares, como es el caso de WordPress, Joomla! Y ahora quiero incorporar Drupal. El tema es que luego de unos 3 mese sin actualización, el equipo de desarrollo de WordPress acaba de liberar la nueva versión 3.3.2 con actualizaciones de seguridad acumuladas.

Estas son las librerías externas que recibieron una actualización de seguridad

• Plupload (versión 1.5.4), que usa WordPress para subir los archivos de multimedia.
• SWFUpload, que WordPress utilizado anteriormente para subir multimedia, y todavía puede estar en uso por los plugins.
• SWFObject, que WordPress utilizado anteriormente para integrar el contenido de Flash, y todavía puede estar en uso por los plugins y temas.

Fingerprinting en Wordpress: Parte II

Seguimos capturando información que en este caso WordPress y los desarrolladores nos dejan a disposición en muchos casos.

Ya hemos podido identificar su estructura de directorios, el theme que está utilizando y un pequeño indicio de los plugins que posiblemente utilice, ahora a seguir con nuestra cacería en búsqueda de más información.

Cuando descargamos el paquete de WordPress para instalarlo, seguramente desde el sitio oficial, como es lo recomendado, cometemos el error de subir absolutamente todos los archivos al hosting personal, y no nos damos cuenta que muchos de ellos son innecesarios como es el caso de licence.txt y readme.html donde algo de información podemos extraer o corroborar.

Fingerprinting en Wordpress: Parte I

Si no se tiene un buen control sobre el código fuente de un Theme o sobre los Plugins instalados en en WordPress es posible comenzar a recopilar información muy interesante para tener en cuenta e ir enumerando cada uno de los componentes.

Y para ello lo único que debemos hacer es comenzar a ver el código fuente de una pagina web y con eso basta para saber si el CMS en la cuál está creado es un WordPress.

En la anatomía del código fuente es posible encontrar cosas como los característicos directorios de WordPress wp-content wp-admin etc. nombre del Theme, incluso librerías externas o Frameworks para complementar el desarrollo de WordPress.

Actualización crítica de Seguridad, Joomla! 2.5.4

Si estás pensando que este artículo está repetido, pues temo decirte que no, y es que este último 2 de Abril el equipo de desarrolladores de Joomla! acaba de liberar su nueva versión 2.5.4 corrigiendo algunos fallos de seguridad importantes.

El punto interesante es el compromiso de Joomla! para con sus usuarios, ya que actualiza constantemente su CMS, pero su punto crítico es que se siguen encontrando fallos importantes en el mismo, y que un sitio no matenido adecuadamente puede verse seriamente afectado por estos fallos.

Los dos fallos más importantes corregidos, uno tiene que ver con un error de comprobación de permisos, donde podría comprometer información administrativa. El otro fallo tiene que ver con su gestor de actualizaciones, donde por un filtrado inadecuado, podría tener algunas vulnerabilidades XSS.

Actualización crítica de Seguridad, Joomla! 2.5.3

Renovando el compromiso con los usuarios, el equipo de desarrollo de Joomla! Acaba de liberar esta nueva versión fortificando algunas vulnerabilidades crìticas, donde un atacante tendría la posibilidad de escalar provilegios y modificar las contraseñas para suplantar a un usuario.

Es bueno saber que para este tipo de errores ya se encuentra un nuevo parche de seguridad, así que para todos los usuarios que utilizan, y seguro que son muchos, Joomla! Ahora mismo se les recomienda actualizarlo, ya que además estas vulnerabilidades afectan a versiones de Joomla! 2.5.2, 2.5.1, 2.5.0, 1.7.x y 1.6.x

Enlace | Joomla! 2.5.3 Released