Una vulnerabilidad en el complemento SSL de WordPress deja expuestas más de 4 millones de páginas web

Una vulnerabilidad en el sistema de autentificación del complemento de WordPress conocido como Really Simple Security (SSL, por sus siglas en inglés) ha puesto en riesgo a las más de 4 millones de páginas web que lo utilizan, tanto en su versión gratuita como en la de pago.

Really Simple Security es un 'plugin' de seguridad que permite reforzar la navegación segura en la web con herramientas de protección de inicio de sesión, sistema de autentificación multifactor (MFA, por sus siglas en inglés) y detección de vulnerabilidades en tiempo real.

La división de ciberseguridad e inteligencia de amenazas de WordPress, Wordfence, ha advertido una vulnerabilidad en este complemento, que habría puesto en riesgo a más de 4 millones de páginas web que utilizan las versiones que van de la 9.0.0 hasta la 9.1.1.1 gratuita y Pro (Really Simple Security Pro y Pro Multisite) de SSL.

Este error permite que los atacantes no auntentificados inicien sesión como cualquier otro usuario existente de WordPress como administradores cuando se habilita la configuración de la autentificación de dos factores (2FA), que viene desactivada de forma predeterminada, según los investigadores.

Los expertos han dicho que esta falla, identificada como CVE-2024-10924, permite a los atacantes obtener acceso adminsitrativo completo de forma remota a cualquier web que ejecute el señalado 'plugin' a pesar de haber activado esta función de seguridad, según ha explicado este equipo de ciberseguridad en su blog.

Este problema radica en la función 'check_login_and_get_user()', que verifica la identidad de los usuarios comprobando dos parámetros, 'ser_id' y 'login_nonce'. Cuando se añade información errónea en este último, la solicitud de acceso no se rechaza, sino que infoca a otra función, 'authenticate_and_redirect()'. Esto significa que autentifica al usuario basándose únicamente en el campo 'user_id', de forma que permite omitir la autentificación.

Wordfence ha insistido en que se trata de una de las fallas "más graves" de las que ha informado en sus 12 años de historia como proveedor de seguridad para WordPress. De hecho, tiene una calificación de 9.8 por el Sistema de Puntuación de Vulnerabilidades Comunes (CVSS, por sus siglas en inglés).

Esta gravedad se debe a que la comentada vulnerabilidad se puede programar, de manera que "se puede convertir en un ataque automatizado a gran escala" dirigido a sitios web de WordPress, tal y como han matizado los investigadores.

También se ha confirmado que el proveedor de este complemento ha trabajado con el equipo de WordPress.org para enviar una actualización de seguridad (9.1.2) para todos los usuarios que ejecuten una versión vulnerable de SSL. Los usuarios que no tengan automatizadas estas actualizaciones deben hacerlo de manera manual.