por SeguridadWP
Hace unos días se han reportado cientos de hackeos en sitios basados en wordpress que contenían el script TimThumb en el theme o en algún plugin. En primera instancia, muchas compañías de hosting recomendaron la instalación de algunos plugins de seguridad tales como Akismet, Login Lockdown o Limit Login Attempts. Posteriormente, se supo que el fallo radicaba en el pequeño script timthumb que realiza un resize automático en las imágenes jpg, png y gif, o bien, permite subirlas desde un servidor remoto de sitios web conocidos.
Según el sitio websitedefender.com, la vulnerabilidad consiste en que un atacante es capaz de subir un archivo php y ejecutarlo en nuestro servidor debido a un bug que permite el filtrado de cierto tipo de dominios. El código que permite el dominio de origen para subir imágenes es el siguiente:
// external domains that are allowed to be displayed on your website
$allowedSites = array ( 'flickr.com', 'picasa.com', 'blogger.com', 'wordpress.com', 'img.youtube.com', );
Resulta que el atacante puede utilizar un dominio tipo hacker.com.blogger.com y el script lo acepta como correcto y permite su inclusión, lo cuál hace que pueda ser subido y ejecutado cualquier tipo de archivo php con código malicioso con el fin de escalar privilegios y hacerse con la cuenta admin de forma inmediata. Esto pone en peligro muchísimos blogs basados en wordpress que tienen themes funcionando con el redimensionado de imágenes o incluso plugins que lo hacen servir.
¿Qué se recomienda hacer para prevenir los ataques debidos a la vulnerabilidad de TimThumb?
- Revisar y escanear nuestro wordpress para detectar si existe la vulnerabilidad. Websitedefender.com ofrece un servicio gratis para escanear todas las vulnerabilidades actuales. Disponen también del plugin que ya hemos comentado: http://wordpress.org/extend/plugins/wp-security-scan/
- Descargar y sustiuir la versión antigua por la nueva versión parcheada v.1.34 en: http://code.google.com/p/timthumb/
¿Qué plugins utilizan timthumb y son susceptibles de ser hackeados?
- Portfolio slideshow-pro
- Wp mobile detector
- A-wp mobile detector
- Shortcodes ultimate
- Igit related posts with thumb images after posts
- Dukapress
- Verve meta-boxes
- Db-toolkit
- Logo management
- Wp-marketplace
- Islidex
- AIO shortcodes
- Category grid view gallery
- WPFanPro
- Igit posts slider widget
- WordPress gallery plugin
- CMS pack
- Premium Gallery Manager
- Dp-thumbnail
- Placid-slider
- Nivo-slider
- photoria
- LaunchPress Theme
- Kc related posts by category
- Journalcrunch
- Download manager
- WordPress thumbnail-slider
- Sugar slider
- Optimizepress
Lista de los 230 themes para WordPress (gratuitos y de pago) que contienen timthumb
http://www.websitedefender.com/web-security/timthumb-vulnerability-wordpress-plugins-themes/
Más información en: http://ayudawordpress.com/wordpress-con-timthumb-hackeado-hacen-black-hat-seo-en-google-images/
Blindar Wordpress contra ataques DDoS y spam
Métodos de Protección de la Carpeta Wp-Admin
BlogZapper - Clonación y Copia de Seguridad Wordpress
Los mejores plugins de backup para WordPress
Malware en imágenes: 10 Consejos básicos para webmasters
SeguridadWordpress.com es un blog que ayuda a los usuarios a aumentar la seguridad de sus webs basadas en Wordpress. La web no tiene ninguna relación comercial con este gestor de contenidos. Wordpress® es una marca registrada de Automattic Inc.
Existe un plugin actualizado a septiembre de 2011 que escanea la vulnerabilidad y te da opción a sustituirlo por un nuevo timthumb parcheado:
Timthumb Vulnerability Scanner
http://wordpress.org/extend/plugins/timthumb-vulnerability-scanner
Another plugin that uses timthumb is Ubillboard.