Observando la seguridad en la red

Te traemos las últimas noticias sobre ciberseguridad y ciberataques

Detectan nueva vulnerabilidad en sitios de comercio electrónico

Nueva vulnerabilidad en el plugin WooCommerce permite que vándalos tomen control total de tu tienda web

Ciberseguridad para comercio electrónico en WordPress

  • Nueva vulnerabilidad en plugin WooCommerce permite control total de tienda en línea
  • Requiere acceso de administrador de tienda para borrar archivos
  • Atacantes podrían ser empleados insatisfechos o inconformes

Una vulnerabilidad en la plataforma de tiendas en línea WooCommerce, utilizada por más de cuatro millones de sitios web, puede ser explotada para secuestrar las instalaciones de WordPress que usen el popular plugin.

Los investigadores de RIPSTech descubrieron e informaron la falla directamente a los desarrolladores de WooCommerce, quienes solucionaron el error en la versión 3.4.6, así que asegúrate de estar ejecutando ésta.

Si se explota, el error les permite a los usuarios con una cuenta de administrador de tienda en WooCommerce la capacidad de eliminar archivos en el servidor, y posiblemente hacerse cargo de las cuentas de administrador. Eso significa que los empleados deshonestos, o alguien con acceso a sus cuentas, podrían vandalizar o alterar el sitio web del host, y así sucesivamente.

 

Riesgo basado en roles

«La forma en que WordPress maneja los privilegios es mediante la asignación de ciertas capacidades a diferentes roles», explicó el investigador de RIPSTech Simon Scannell

«Cuando se define el rol de administrador de la tienda, se le asigna la capacidad de ‘editar usuarios’ para que puedan editar cuentas de clientes de la tienda. Esto sucede durante el proceso de instalación del plugin».

Luego, el plugin o complemento intentará limitar estos administradores de tiendas para que solo puedan alterar las cuentas de los clientes y no editar las cuentas de administrador.

Sin embargo, los investigadores descubrieron que había una falla en el diseño: el rol de administrador de la tienda con su capacidad de ‘editar usuarios’ se define directamente en WordPress, mientras que los controles de acceso que limitan a los administradores son administrados por WooCommerce.

Esto significa que si una cuenta de administrador de la tienda puede cerrar el complemento WooCommerce, el usuario tendrá capacidad de edición completa en todas las cuentas de WordPress.

Una Solución Simple

Deshabilitar WooCommerce resultó ser una actividad trivial, gracias a que WooCommerce también tuvo un error arbitrario de eliminación de archivos. Los atacantes tendrían que eliminar el archivo woocommerce.php para deshabilitar el complemento y, a partir de ahí dejar todo en manos de los criminales.

Si bien el error sería malo en cualquier contexto, es especialmente arriesgado, ya que se puede realizar con lo que es esencialmente una cuenta de usuario final. Los gerentes de las tiendas normalmente no tendrían una amplia capacitación en ciberseguridad, y podrían ser susceptibles a cosas como phishing o inyecciones de scripts inter sitios.

Como señala RIPSTech, el error también muestra cómo WordPress, una plataforma que tiene su propia cuota de vulnerabilidades de seguridad, también puede quedar expuesta a ataques por fallas en sus complementos.

No está de más decir que los administradores deben asegurarse de estar ejecutando la versión parchada de WooCommerce.

Isaul CarballarDetectan nueva vulnerabilidad en sitios de comercio electrónico