JetPack y TwentyFifteen Vulnerable a DOM-based XSS

JetPack y TwentyFifteen vulnerables.

Cualquier Plugin de WordPress o tema que aprovecha el paquete genericons es vulnerable a una DOM-based Cross-Site Scripting (XSS) debido a un archivo inseguro incluido con genericons. Hasta el momento, el plugin JetPack (informó de que tiene más de 1 millón de instalaciones activas) y el tema TwentyFifteen (instalado por defecto) se encuentran ser vulnerable. El número exacto es difícil de entender, pero el plugin y el tema son instalaciones por defecto en millones de WordPress instala. El tema principal aquí es el paquete genericons, por lo que cualquier plugin que hace uso de este paquete es potencialmente vulnerable si se incluye el archivo example.html que viene con el paquete.

 

DOM-based XSS

La vulnerabilidad XSS es muy fácil de explotar y sucede a nivel Document Object Model (DOM). Si usted no está familiarizado con los ataques del DOM, el grupo de OWASP lo explica aqui bien:

DOM- based XSS es un ataque XSS en el que la carga útil de ataque se ejecuta como resultado de la modificación del Document Object Model (DOM) “medio ambiente” en el navegador de la víctima utilizado el script del lado del cliente original, por lo que el código del lado del cliente se ejecuta en un manera “inesperada”. Es decir, la propia página (la respuesta HTTP que es) no cambia, pero el código de cliente que figura en la página ejecuta de manera diferente debido a las modificaciones maliciosas que se han producido en el entorno de DOM.

Eso significa que la carga útil XSS nunca se envía hacia el lado del servidor y se ejecuta directamente en el navegador. Así que incluso alguien que use nuestra Sitio Web Firewall, puede ser vulnerable ya que nunca tiene la oportunidad de verlo. En este caso, hemos sido capaces de arreglar prácticamente el exploit, pero DOM-based XSS es muy difícil de bloquear.

DOM-based XSS también son un poco más difíciles de explotar, ya que requiere un cierto nivel de ingeniería social para conseguir que alguien haga clic en el enlace de explotar. Sin embargo, una vez que logren hacer esto, proporciona el mismo nivel del acceso que otros tipos de ataques de XSS (reflejado o almacenado).

0-days in the wild

Lo interesante de este ataque es que lo detectamos en los días antes de la divulgación. Conseguimos un informe sobre ello y algunos de nuestros clientes también conseguían informes que dicen que eran vulnerables y señalaban a:

http:// site.com/wp-content/themes/twentyfifteen/genericons/example.html#1< img/ src=1 onerror= alert(1)>

En esta prueba de concepto, el XSS impreso una alerta de javascript, pero podría ser utilizado para ejecutar javascript en tu navegador y hacerse cargo de la web si ha iniciado sesión como administrador.

Elimine el archivo genericons/example.html

Afortunadamente, la solución para esto es bastante sencillo. Elimine el archivo genericons/example.html o asegúrese de que tiene un WAF o IDS que está bloqueando el acceso a la misma. Debido a la baja gravedad, pero el impacto masivo, tendimos la mano a nuestra red de recibir relaciones en un intento de remendar prácticamente esto para millones de usuarios de WordPress tan pronto como sea posible.

Los anfitriones siguientes deberían haber remendado prácticamente o haber endurecido sus ambientes de esta cuestión desde hace una semana:

  • GoDaddy
  • HostPapa
  • DreamHost
  • ClickHost
  • Inmotion
  • WPEngine
  • Pagely
  • Pressable
  • Websynthesis
  • Site5
  • SiteGround

No podemos olvidar uno de los principios básicos de la seguridad, en el que debemos mantener un ambiente prístino de la producción. Esto significa que quitar debug o archivos de prueba antes de que se mude a la producción. En este caso, Automattic y el equipo de WordPress dejaron un archivo simple ejemplo.html que había encajada la vulnerabilidad. Lo qué es más preocupante aquí es el alcanzar el plugin y el tema se han combinado; que se instalan en muchos casos, por defecto en todas las instalaciones de WordPress. Simple descuido, que podría tener devastadores impactos en incautos propietarios de páginas web y las empresas.

Tenga en cuenta que a pesar de ser un DOM XSS, cualquier sitio detrás de nuestro Firewall Sitio Web ya están protegidos, pero si usted no tiene un WAF o IPS protegiendo su sitio, le recomendaría la eliminación de la example.html desde dentro del directorio genericons.

Tenga en cuenta que a pesar de ser un DOM XSS, cualquier sitio detrás de Sucuri Firewall Sitio Web ya están protegidos, pero si usted no tiene un WAF o IPS protegiendo su sitio, le recomendaría la eliminación de la example.html desde dentro del directorio genericons.

Texto obtenido de Tucancunix.net

Jennifer Lawrence y sus fotos propagan virus

Atacantes obtienen control remoto de equipos y pueden acceder a información privada de sus víctimas.

La filtración de las imágenes privadas de decenas de estrellas de la farándula internacional se ha convertido en una puerta para que criminales cibernéticos ataquen a curiosos internautas quienes buscan las publicitadas fotos de actrices como Jennifer Lawrence o Kate Upton.

Jennifer Lawrence, fotos

Jennifer Lawrence

 

La alerta fue emitida por el Laboratorio de Investigación de ESET Latinoamérica, que identificó un malware que permite a los atacantes acceder a los equipos de sus víctimas para manejarlos de forma remota y obtener información sensible.

“Se ha detectado una aplicación que simula descargar las fotos de Jennifer Lawrence para infectar el sistema del usuario con una variante de Win32/Fynlosky, un backdoor que le permite a un atacante controlar de manera remota los sistemas infectados para realizar actividades diversas”, señaló el laboratorio.

El código malicioso, recientemente detectado, está diseñado para robar información de los usuarios a través de una conexión remota con el atacante. Además, cuenta con algunas herramientas para ocultar su comportamiento y múltiples comandos que puede ejecutar una vez que infectó un sistema.

De este modo, cuando el usuario intenta ejecutar este programa en su computadora, lo único que ve es un mensaje en inglés el cual le alerta que no hay ninguna conexión a Internet activa. Esto es un engaño y sólo aparece para despistarlo y que crea que lo que se bajó no sirve, sin pensar que ahora su computadora se convirtió en un bot. Luego, su equipo comenzará a guardar en un archivo de texto todo lo que el usuario haga en el sistema para enviar la información al atacante.

“Además, para que el usuario no pueda ver los procesos que se están ejecutando, al momento de instalarse en el sistema y crear una copia oculta de sí mismo dentro de “Mis Documentos”, deshabilitará el acceso al “Administrador de Tareas” (Task Manager) como así también al Editor de Registros (regedit.exe)”, explicó ESET Latinoamérica.

A su vez, se ha detectado un falso video de Jennifer Lawrence con contenido íntimo que se propaga vía Facebook.

Recordemos que en anteriores ocasiones se han filtrado imagenes de otras actrices como Shiri Appleby, entre otras.

El encanta perros, César Millán, es mordido por un canino.

 

César Millán es un experto que conduce un programa llamado “el encantador de Perros”, y recientemente trataba el caso deun labrador llamado Holly, que tiene trastornos y que se pone muy violento a la hora de comer.

César Millán, El encanta perros

César Millán, El encanta perros

 

Al principio logró calmar al perro, pero no le sirvió de mucho, pues en pocos minutos terminó atacando a Millán en un brazo. Finalmente calmó al animal

César intentaba enseñarle a comer, pues el perro probablemente padece algún trastorno emocional que lo hace comportarse agresivo.

Informa VerTele que Holly, quien por momentos se mostraba hostil con el “encantador de perros”, no se contuvo y mordió a su entrenador.

Fuente: El universal

Alison Pill envía Tweet con foto desnuda de sí misma accidentalmente

 

La actriz Alison Pill (“The Newsroom,” Midnight in Paris, Scott Pilgrim vs the World, Milk) accidentalmente publicó una foto en Twitter, mostrando a todos sus fans una foto de sí misma tendida en una cama en topless. Rápidamente retiró la foto, pero no antes de que algunos de sus seguidores tuvieron la oportunidad de agarrarla.

Alison Pill

Alison Pill

“Si. Esa foto sucedió”, escribió Pill después de retirar la imagen. “Ugh. Mis problemas con la tecnología han llegado a nuevas alturas, al parecer. ¿Cómo una supresión se convirtió en un tweet… Disculpas”. Su novio, el actor Jay Baruchel, abordó el incidente, escribiendo: “Mi novia es una tonta hilarante”.

Muchos de los seguidores de Twitter de Pill contestaron, afirmando que no había ninguna necesidad de disculparse, ya que a muchos no le importaba verla en topless. La actriz puede estar un poco incómoda, pero el accidente le consiguió 2,000 nuevos seguidores.

Alison es una mas de las famosas que caen en estas situaciones de aparecer desnudas en Internet, como son Shiri ApplebyScarlett Johansson entre muchas mas.

Shiri Appleby desnuda

 

La actriz Shiri Appleby se convirtió en otra de las famosas con fotos íntimas circulando en la web. La actriz que actuó en la serie Roswell aparece en una fotografía completamente desnuda que se filtró en Internet, siendo víctima de la violación a su privacidad.

Shiri Appleby

Shiri Appleby

 

Ella aparece completamente desnuda en un baño, frente a un espejo, algo similar a lo que le ocurrió a Scarlett Johansson.

Appleby actuó en la serie Roswell, y en la foto aparece sin maquillaje y sin panza, y como ahora se encuentra a punto de dar a luz, se deduce que la imagen fue tomada hace varios meses.

La estadounidense Shiri Freda Appleby es nació en 1978; se hizo popular por su rol en la serie Roswell, que terminó en 2002, pero sus primeros trabajos los hizo en campañas publicitarias a los cuatro años de edad.

Informa Teleshow que en 2007 salió un tiempo con el actor Zach Braff, protagonista de la serie Scrubs; pero ahora lleva más de dos años en una relación con Jon Shook.

El supuesto video del desnudo de Belinda

La cantante y actriz se vio envuelta en dos escándalos sexuales. Primero cuando se filtraron imágenes de ella mostrando su cuerpo desnudo en una web cam, supuestamente para su en ese entonces novio, el futbolista Giovanni Dosantos, mismo con el cual, protagonizó otro escándalo tras hacerse público un video en el que presuntamente sostienen un encuentro “muy candente”, en la parte trasera de un automóvil.