Memo a cualquier persona que se conecte a un blog de WordPress alojada de una conexión Wi-Fi público o de otra red no segura: Es trivial para el script kiddie unas pocas mesas abajo para secuestrar su sitio incluso si está protegido por la autenticación de dos factores.
Yan Zhu, un tecnólogo de personal de la Electronic Frontier Foundation, llegó a esa determinación después de notar que los servidores de WordPress envían una cookie clave navegador en texto plano, en lugar de cifrar, siempre y mandato de las prácticas de seguridad ampliamente aceptadas. La cookie, que lleva la etiqueta \ "wordpress_logged_in, \" se establece una vez que el usuario final ha introducido un nombre de usuario válido y la contraseña de WordPress. Es el equivalente de un sitio web pulseras de plástico utilizadas por los clubes nocturnos. Una vez que el navegador presenta la cookie, los servidores de WordPress inaugurarán el usuario detrás de una cuerda de terciopelo de secciones altamente privilegiados que revelan mensajes privados, actualizar algunos ajustes de usuario, publicar blogs, y más. El movimiento por los ingenieros de WordPress para que la cookie sea transmitida sin encriptar los hace susceptibles a la interceptación en muchos casos.
Zhu enganchó una cookie de su propia cuenta de la misma manera que lo haría un hacker malicioso y luego pegó en un perfil fresco navegador. Cuando visitó WordPress fue inmediatamente registrado en sin tener que introducir sus credenciales y aunque ella había habilitado la autenticación de dos factores. Ella fue capaz de publicar entradas de blog, leer los mensajes privados y las estadísticas del blog, y enviar los comentarios que se atribuyeron a su cuenta. Como si eso no fuera suficiente, ella fue capaz de utilizar la cookie para cambiar la dirección de correo electrónico asignada a la cuenta y, si la autenticación de dos factores no estaba ya en el lugar, configurar la función. Eso significa que un hacker explotar la vulnerabilidad podría bloquear un usuario vulnerable. Cuando el usuario legítimo trató de acceder a la cuenta, el intento sería un fracaso, ya que el código de acceso de una sola vez sería enviado a un número controlado por el atacante. Sorprendentemente, la cookie robado tendrá una validez de tres años, aunque la víctima sale de la sesión de la cuenta antes de esa fecha. Zhuescribió en su blog acerca de la vulnerabilidadla noche del jueves.
No hay comentarios:
Publicar un comentario