sábado, 28 de junio de 2014

¡Cuidado con donde dejan tus backups en WordPress!

¡Saludos!

    Hace un par de meses estuve auditando plugins para realizar backups en WordPress, fruto de lo cual llovió una gran cantidad de reportes. Entre los fallos más comunes estaban los CSRF que permitían la explotación de otros fallos, por poner algunos ejemplos: un DoS al sitio por intentar crear 1.000 backups completos de la instalación de WordPress en apenas 5 segundos, el borrado arbitrario de archivos, envío de una copia del bakcup de la DB al correo electrónico del atacante, etc.

   Otro problema que encontré relativamente común era que los backups que generaban eran guardados en lugares accesibles desde el navegador. Y no sólo eso, sino que además lo hacían con nombres bastante predecibles. En este grupo de plugins encontramos por ejemplo WP BackItUp, del cual ya hice en su momento un post (Arbitrary File Deletion http://www.estacion-informatica.com/2014/05/wp-backitup-arbitrary-file-deletion.html, que pese a haber actualizado el plugin en varias ocasiones sigue siendo vulnerable). Lo mismo que vamos a ver aquí, ocurre en otros tantos plugins.

   Si el source de este plugin podemos ver que el nombre que va a recibir el backup es bastante predecible:

/*** Globals ***/
global $WPBackitup;
$fileUTCDateTime=current_time( 'timestamp' );
$localDateTime = date_i18n('Y-m-d-Hi',$fileUTCDateTime);
$backup_project_dirname = str_replace(' ','',get_bloginfo('name')) .'_Backup_' .$localDateTime;
$backup_project_path = WPBACKITUP_CONTENT_PATH .WPBACKITUP_BACKUP_FOLDER .'/'. $backup_project_dirname .'/';
$backup_folder_root = WPBACKITUP_CONTENT_PATH .WPBACKITUP_BACKUP_FOLDER .'/';
$restore_folder_root = WPBACKITUP_RESTORE_FOLDER;

 Básicamente el archivo queda en forma de NombreDelBlog_Backup_Año_mes_dia_HoraMinuto.zip . Por lo tanto el número de posibilidades no es muy grande si lo que queremos es buscar posibles backups de hace un par de meses.

    He añadido un exploit para extraer y descargar los backups que realiza este plugin a g0jira  (poco a poco va cogiendo forma), iré metiendo más plugins susceptibles de sacar sus backups por fuerza bruta conforme saque tiempo.


Byt3z!

5 0verl0ad Labs: ¡Cuidado con donde dejan tus backups en WordPress! ¡Saludos!     Hace un par de meses estuve auditando plugins para realizar backups en WordPress, fruto de lo cual llovió una gran cantidad...

No hay comentarios:

< >