WordPress: de nuevo un servidor de descarga oficial comprometido Los servidores oficiales desde donde se descarga el popular WordPress fueron comprometidos en algíƒÂºn momento y el cíƒÂ³digo fuente del programa modificado para troyanizarlo. No es la primera vez que se troyaniza un programa muy popular desde la raíƒÂ­z de su distribuciíƒÂ³n. Toda descarga producida desde el servidor oficial de WordPress desde el díƒÂ­a 25 de febrero hasta el 2 de marzo de 2007 es susceptible de contener el cíƒÂ³digo que permite acceso al servidor donde estíƒÂ© instalado. Este problema, debido a la popularidad del software afectado, ha podido dejar descubierto a una gran cantidad de servidores que lo mantienen instalado. Ivan Fratric estaba estudiando la seguridad de WordPress cuando descubriíƒÂ³ que los paríƒÂ¡metros “ix” en wp-includes/feed.php e “iz” en wp-includes/theme.php permitíƒÂ­an la ejecuciíƒÂ³n de comandos shell arbitrarios. Fratric descubriíƒÂ³ que se habíƒÂ­an creado funciones especíƒÂ­ficas para que esos paríƒÂ¡metros no fueran comprobados. Se puso en contacto con WordPress y ríƒÂ¡pidamente desactivaron las descargas. Uno de los dos servidores de descarga habíƒÂ­a sido comprometido y el atacante habíƒÂ­a modificado el cíƒÂ³digo (síƒÂ³lo esos dos ficheros) para tener acceso al sistema donde se instalase ese programa desde entonces. Si bien no habríƒÂ­a evitado este incidente desde su raíƒÂ­z, algunas simples medidas síƒÂ­ que podríƒÂ­an haber ayudado a una temprana detecciíƒÂ³n. Por ejemplo, si el cíƒÂ³digo fuente original estuviese firmado con criptografíƒÂ­a asimíƒÂ©trica, o comprobar la integridad a travíƒÂ©s de cualquier funciíƒÂ³n hash. Estas medidas no son perfectas, un atacante podríƒÂ­a haber modificado ademíƒÂ¡s en el servidor el cíƒÂ³digo hash para que casara con la copia troyanizada, es cierto, pero suponen una capa míƒÂ¡s de seguridad y aíƒÂ±adiríƒÂ­an confianza al proceso de descarga. Cualquiera de los (desgraciadamente pocos) usuarios acostumbrados a comprobar la firma digital y la integridad de las descargas, hubiesen detectado el problema casi inmediatamente. Hoy por hoy WordPress proporciona un cíƒÂ³digo hash MD5 oficial de la distribuciíƒÂ³n (incomprensiblemente síƒÂ³lo de la versiíƒÂ³n comprimida con tar.gz, no ofrece el MD5 del formato ZIP) pero no las firma digitalmente. Esto ya ha ocurrido en muchas ocasiones anteriores. Programas muy populares y utilizados han sido troyanizados desde su raíƒÂ­z, desde los repositorios oficiales, propagando una copia vulnerable en toda descarga. Por ejemplo, ya en 1994 ocurriíƒÂ³ en dos ocasiones, en abril y octubre, con wuarchive ftpd e ircII respectivamente. OpenSSH, baluarte de las conexiones seguras, sufriíƒÂ³ hace aíƒÂ±os un incidente parecido. Las versiones 3.4 y 3.2 fueron troyanizadas desde ftp.openssh.com y ftp.openbsd.org y estuvieron disponibles para su descarga del 30 al 31 de julio de 2002. Poco despuíƒÂ©s, el servidor HTTP de Tcpdump, popular analizador de red, fue comprometido el 11 de noviembre de 2002, y su descarga no fue deshabilitada hasta el díƒÂ­a 13. El cíƒÂ³digo troyanizado ignoraba el tríƒÂ¡fico del puerto 1963, desde donde un atacante podríƒÂ­a controlar la míƒÂ¡quina en la que se ejecutase. Sendmail protagonizíƒÂ³ un escíƒÂ¡ndalo mayor cuando comprometieron ftp.sendmail.org aproximadamente el 28 de septiembre de 2002. No fue hasta el 6 de octubre de ese aíƒÂ±o que se deshabilitíƒÂ³ la descarga del programa envenenado, nada míƒÂ¡s y nada menos que el servidor de correo míƒÂ¡s usado en el mundo. El atacante aíƒÂ±adiíƒÂ³ una shell accesible desde el puerto 6667. Los usuarios de WordPress deben descargar la nueva versiíƒÂ³n de WordPress disponible si creen poder haber sido afectados por este incidente.




LOS 10 MEJORES VIDEOS DE EL BAR PROVOCA CLICK AQUI O LO QUE ESTAS BUSCANDO ABAJO ESTA

Leave a Reply