Vulnerabilidad GRAVE en Plugin premium Revolution Slider [versión < 4.2]

TMeister · #1 (**permalink**) 04/09/2014, 07:46

Para aquellos que usan en el Plugin de WordPress Revolution Slider o algún theme de pago que lo incluya, esto les interesa.

http://blog.sucuri.net/2014/09/slide...exploited.html

AlejandroGalvez · #2 (**permalink**) 04/09/2014, 08:59

Brutal... Menudo fallo más grave. Si algún aprovechado ha llegado a tiempo ha podido copiar miles de bases de datos, o infectar otros tantos miles de sitios que estuvieran utilizando este plugin.

Me gustaría ver la cara de los desarrolladores cuándo se enteraron de la burrada que habían hecho y lo grave que era el problema. No conozco un caso tan severo relacionado con WP como este. Y pensaban irse de rositas sin notificarlo públicamente para prevenir a sus clientes/usuarios o indicarlo claramente en su changelog. Menuda cara.

----------

EDITO: Rebuscando por los comentarios de la página de venta del plugin en CodeCanyon veo que los usuarios están masacrando a ThemePunch exigiendo una disculpa, transparencia y les reprenden por haberlo hecho tan mal. Respuesta de ThemePunch:

Cita:

Hi,

We of course feel very sorry for everybody who has been hacked. It is not really fair to say such a bad thing! How do you come up with this idea? Do you follow our customer service at all? Additionally if you would have read carefully what we have answered here in the comments you would have seen that we apologised.

To be more transparent:

We have had the plugin tested for vulnerabilities from security companies, updated the plugin as advised in a normal way, included an auto update system to make updating an easy process and informed the customers to update. We were advised to make a silent update to not inform the public of how to hack the sites and give all people a chance to update.

As a customer you get an information mail about every update from Envato (the license seller). Again we feel very sorry for everybody being hacked but missing at least 29 (!)updates of a plugin, really? If the update description of the current update states “Security Fix” do you think “Ah, this cannot be important”. Should we have posted a HowTo hack your page at that time? Nobody had updated then, mainly evil minds seem to read the update informations. The damage would be unbelievable!

We informed everybody via our twitter account to update and we informed Envato and Mojothemes to send out messages to the customers.

Hope this adds a little transparency to what have happened. This is not meant as justification but for transparency.

Cheers, ThemePunch

http://codecanyon.net/item/slider-re...omment_7685886

No me parece una excusa muy válida. Hay desarrolladores que han incluido este plugin en temas que también han vendido/distribuido y obviamente no se auto-actualizan. Lo mismo para muchos otros clientes que no hayan podido/querido actualizar. Todos ellos no sabían de lo importante que era ese pequeño y escondido "Security Fix" en el changelog. Deberían haber sido notificados urgentemente por correo electrónico y haber publicado el problema, ya no descrito al pie de la letra, sino al menos haber avisado que había un importantísimo agujero de seguridad y era imprescindible actualizar el plugin o eliminarlo sin contemplaciones.

TMeister · #3 (**permalink**) 04/09/2014, 10:04

Claro concuerdo contigo, el primer error, desde mi punto de vista, es que el desarrollador no haya salido a dar la cara y hacer publica la vulnerabilidad. Entiendo perfectamente que publicar una vulnerabilidad es un arma de 2 filos, pero no expliques como atacarla, solo avisa a tus usuarios que deben actualizar y no solo lo agregues en el changelog, ese archivo lo revisa el 1%.

Segundo, Aquí entra el tema de incluir plugins de terceros en themes premium, la mayoría de los desarrolladores de themes no actualizan los plugins que vienen incluidos. Si, tal vez ThemePunch hizo el fix 29 versiones atrás pero estoy seguro que los cientos de themes que usan su plugin no han hecho el update, primero por que no tiene un sistema de autoupdate y segundo por la desidia o falta de conocimiento de los desarrolladores.

De cualquier forma al día de hoy aun hay miles de sitios afectados, ayer hice algunas pruebas y el 95% de los sitios con este plugin eran vulnerables.

AlejandroGalvez · #4 (**permalink**) 04/09/2014, 12:07

Cita:

Iniciado por TMeister

De cualquier forma al día de hoy aun hay miles de sitios afectados, ayer hice algunas pruebas y el 95% de los sitios con este plugin eran vulnerables.

Es un dato que hace estremecerse. Ya imagino a muchos accediendo a bases de datos de WordPress con algún sistema e-commerce... Robando datos a diestro y siniestro de clientes. Es tan simple hacerlo que es ridícula la poca difusión del problema y su solución.

En mi caso he utilizado y utilizo frameworks de terceros para agilizar algunos trabajos. Muchas veces acabo desechándolos y haciendo mis propias librerías. Lo poco que utilizo suele ser superficial y benigno, jamás he incluido un plugin externo, a penas librerías JS para sliders o librerías PHP para tareas puntuales. Pero claro, este era un plugin para hacer sliders...

Da que pensar, esto es algo malo para WordPress. Genera mucha desconfianza y rechazo por culpa de X producto que se planteó y desarrolló mal. Pagarémos justos por pecadores.

TMeister · #5 (**permalink**) 04/09/2014, 13:20

No creo que sea malo para WordPress, las vulnerabilidades existen en cualquier sistema, CMS, etc, etc. Recuerda el asunto de Timthumb tambien fue bastante escandaloso en su día o el reciente Heartbeat pero no afectaron la reputación de WordPress.

Lo que si estaría a discusión, sobre todo para los marketplaces tipo Envato, es que política tomaran en cuanto a actualizar los plugins que se incluyen en los temas que venden. Ahora cualquier tema que se vende en Envato viene con 2 o 3 plugins de terceros por default. Lo mejor seria darle la opción al cliente de que quiere usar y que el cliente sea el responsable de mantener actualizado sus plugins themes, pero eso ya es otro tema totalmente diferente.

Por otro lado, volviendo a la vulnerabilidad, si conseguí varios wp-config.php con sus credenciales y todo, pero el tener los datos de conexión a la DB realmente no te ayuda mucho el 99% de los servers no permiten conexiones a DB remotas, todas son "localhost" o apuntando a una IP interna de su red "192.xx.xx.xx", esa es la "buena" noticia dentro del todo el embrollo.

zanguanga · #6 (**permalink**) 06/09/2014, 02:01

El peor caso que recuerdo fue el de Woothemes, donde hasta que ocurrió lo que ocurrió solo podías pagar con tarjeta en su web (sin pasarela bancaria). Se les colaron en noviembre de 2013 y no se dieron cuenta hasta mayo del 2014, cuando un usuario dijo que le habían robado la tarjeta y que solo la había utilizado en Woothemes. Cientos o decenas de miles de números de tarjetas robadas, entre ellas la mía. Me sacaron 1.400 euros y me costó recuperar el dinero porque mi banco se resistía pero al final lo conseguí, poniendo denuncia en comisaría y poniéndome dura con el banco.

Nunca he entendido la política comercial de Woothemes. Primero con el cambio de la duración de licencias sin previo aviso y sin respetar las compras ya realizadas (ya lo corrigieron) y luego después de este caos de seguridad todo los que nos ofrecieron para compensar el problema fue un descuento del 50% en la siguiente compra, durante los 15 siguientes días. Les contesté que no era suficiente y me enviaron un par de cupones sin fecha de caducidad.

Qué cutres, madre mía, y más tratándose de una empresa de software para comercio electrónico... poner en riesgo su propio sitio por ahorrarse las comisiones de Paypal o de cualquier pasarela bancaria... ni a un principiante en el tema se le ocurre... Venden muy buen software pero su política comercial es demencial.

webosiris · #7 (**permalink**) 06/09/2014, 05:54

Hay.... 1098 themes posiblemente afectados.
http://marketblog.envato.com/general/affected-themes/

Mamma mia...

JustinKO · #8 (**permalink**) 13/09/2014, 07:08

Hola a todos, no sé mucho de este tema. El caso es que me han jakeadp una web con wordpress y este plugning y el proveedor de hosting da como posibilidad el que haya sido por el famoso agujero éste de revolutionSlider.
Por lo que he leído en esto que habéis escrito y postrado, el problema es porque tienen acceso al wp-config.php.
En mi caso han borrado TODOS los archivos del host de la carpeta www, dejando solo un índex.html con su imagen y un par de archivos más.
¿es posible que por este fallo de vulnerabilidad de revolution slider puedan borrar todo el contenido del la carpeta www del host?
es más ¿es posible de que por un hackeo a wordpress puedan eliminar todos estos archivos? ¿o más bien es que ha sido un hacheo al propio hosting?

Gracias de antemano

PD: no sé si habría sido mejor abrir un nuevo post en vez de hacerlo en este que lo tenéis como "destacado" si es así pido disculpas y hago lo que me digáis.

AlejandroGalvez · #9 (**permalink**) 13/09/2014, 08:12

Cita:

Iniciado por JustinKO

¿es posible de que por un hackeo a wordpress puedan eliminar todos estos archivos? ¿o más bien es que ha sido un hacheo al propio hosting?

Hay muchas posibilidades para un hackeo web. Pero si usabas Revolution Slider con una versión vulnerable ten muy en cuenta que es probable, y por supuesto posible, que hayan obtenido tus datos del archivo wp-config.php o cualquier otro. Puedes bajar casi cualquier archivo con este bug. Si da la casualidad que utilizas la misma contraseña para tu base de datos que para tu acceso FTP... Pues ese fue el gran problema. También podrían haber accedido a tu BD, crear un nuevo administrador de tu WordPress, loguearse con él y subir archivos maliciosos para hacer lo que les venga en gana.

Pero insisto, podría tratarse de otra vulnerabilidad no relacionada con WP.

JustinKO · #10 (**permalink**) 13/09/2014, 15:51

OK, ya veo que es más complicado de lo que pensaba. Bueno, pues empapándome estoy de toda la documentación que mi tiempo me permite para evitar en lo posible que me vuelva a ocurrir.

Un saludo y muchas gracias por tu respuesta y ayuda