Se descubrió una vulnerabilidad crítica en un popular complemento de seguridad de WordPress con más de 4 millones de instalaciones. La falla permite a los atacantes iniciar sesión como cualquier usuario, incluidos administradores, y obtener acceso completo a sus permisos a nivel de sitio. Se le asignó una puntuación de amenaza de 9,8 sobre 10, lo que subraya la facilidad de explotación y el potencial de comprometer todo el sitio, incluida la inyección de malware, cambios de contenido no autorizados y ataques a los visitantes del sitio.

Seguridad realmente simple

Really Simple Security es un complemento de WordPress que fue desarrollado para mejorar la resistencia de los sitios de WordPress contra exploits (llamado refuerzo de seguridad), habilitar la autenticación de dos factores, detectar vulnerabilidades y también genera un certificado SSL. Una de las razones por las que se promociona como liviano es porque está diseñado como un software modular que permite a los usuarios elegir qué mejoras de seguridad habilitar para que (en teoría) los procesos para capacidades deshabilitadas no se carguen ni ralenticen el sitio web. Es una tendencia popular en los complementos de WordPress que permite que un software haga muchas cosas pero solo las tareas que requiere el usuario.

El complemento se promociona a través de reseñas de afiliados y, según Google AI Overview, disfruta de críticas muy positivas. Más del 97% de las reseñas en el repositorio oficial de WordPress están calificadas con cinco estrellas, la calificación más alta posible, y menos del 1% califica el complemento con 1 estrella.

¿Qué salió mal?

Una falla de seguridad en el complemento lo hace vulnerable a la omisión de autenticación, que es una falla que permite a un atacante acceder a áreas de un sitio web que requieren un nombre de usuario y una contraseña sin tener que proporcionar credenciales. La vulnerabilidad específica de Really Simple Security permite a un atacante obtener acceso de cualquier usuario registrado del sitio web, incluido el administrador, simplemente conociendo el nombre de usuario.

Esto se denomina vulnerabilidad de acceso no autenticado, uno de los tipos de fallas más graves porque generalmente es más fácil de explotar que una falla “autenticada” que requiere que un atacante obtenga primero el nombre de usuario y la contraseña de un usuario registrado.

Wordfence explica el motivo exacto de la vulnerabilidad:

“Los complementos Really Simple Security (Free, Pro y Pro Multisite) para WordPress son vulnerables a la omisión de autenticación en las versiones 9.0.0 a 9.1.1.1. Esto se debe a un manejo inadecuado de los errores de verificación del usuario en las acciones de la API REST de dos factores con la función ‘check_login_and_get_user’. Esto hace posible que atacantes no autenticados inicien sesión como cualquier usuario existente en el sitio, como un administrador, cuando la configuración “Autenticación de dos factores” está habilitada (deshabilitada de forma predeterminada).

Wordfence bloqueó 310 ataques dirigidos a esta vulnerabilidad en las últimas 24 horas”.

Curso de acción recomendado:

Wordfence anima a los usuarios del complemento a actualizar a la versión 9.1.2 (o superior) de Really Simple Security.

El registro de cambios del complemento Really Simple Security anuncia responsablemente el motivo del software actualizado:

“Registro de cambios
9.1.2
seguridad: omisión de autenticación”

Lea el aviso de seguridad de Wordfence:

Really Simple Security (Gratis, Pro y Pro Multisite) 9.0.0 – 9.1.1.1 – Omisión de autenticación

Imagen destacada de Shutterstock/Tithi Luadthong