Vulnerabilidade CSRF permitiu tomar total controlo de websites WordPress

A falha é uma cross-site request forgery (CSRF) que reside na seção de comentários do WordPress habilitada por padrão — o problema afeta todas as versões do WordPress anteriores à versão 5.1.1.

Um invasor pode hackear um website rodando uma versão vulnerável do WordPress que tenha os comentários habilitados. O truque passa por  enganar um administrador de um website em específico a visitar um outro website destino configurado especialmente pelo invasor.

“As soon as the victim administrator visits the malicious website, a cross-site request forgery (CSRF) exploit is run against the target WordPress blog in the background, without the victim noticing.” reads the analysispublished by RIPS Technologies.

“The CSRF exploit abuses multiple logic flaws and sanitization errors that when combined lead to Remote Code Execution and a full site takeover.”

O WordPress é um popular CMS usado por mais de 33% de todos os websites on-line e, considerando que os comentários são um recurso dos blogs ativados por padrão, a vulnerabilidade afetou potencialmente milhões de websites.

Esta vúlnerabilidade é bastante crítica, uma vez que um atacante remote não autenticado poderá usufruir desta vulnerabilidade para executar código remoto.

• WordPress doesn’t implement CSRF validation when a user posts a new comment. “This is because some WordPress features such as trackbacks and pingbacks would break if there was any validation. This means an attacker can create comments in the name of administrative users of a WordPress blog via CSRF attacks.”
• The above issue can become a security issue since administrators of a WordPress blog are allowed to use arbitrary HTML tags in comments, even <script> tags. 
• The frontend is not protected by the X-Frame-Options header by WordPress itself. For this reason, the comment can be displayed in a hidden way on the website of the attacker. Since the injected attribute is an onmouseover event handler, the attacker can make the iframe follow the mouse of the victim to instantly trigger the XSS payload. In this way, the attacker could execute arbitrary JavaScript code with the session of the administrator who triggered the CSRF vulnerability on the target website. JavaScript is executed in the background without the victim administrator noticing.

O investigador demonstrou que, ao combinar essas falhas, um invasor pode injetar silenciosamente um payload de stored XSS no website alvo quando o administrador apenas visita um website falso contendo o pedaço de código malicioso.

Scanner reportou a vulnerabilidade à equipa do WordPress em outubro passado, mas só esta quarta feira é que o problema foi remendado.

Scannell initially reported this flaw to the WordPress development team in October. The WordPress team attempted to mitigate the issue but did not enable CSRF protection, so Scannell was also able to bypass the solution.

A equipa de desenvolvimento do WordPress finalmente lançou o WordPress 5.1.1 com um patch estável na quarta-feira, dia 14 de março.

Se por algum motivo tiver desativado a atualização automática do WordPress, será necessário instalar a versão 5.1.1 ou desativar temporariamente os comentários e sair da sua sessão de administrador até que o patch de segurança seja instalado.

hacki