¿Deberían suspenderse los complementos de WordPress Deposit cuando hay un problema de seguridad?

El 27 de febrero de 2020, a las 9:34 p.m. (CET), recibimos un correo electrónico anunciando que nuestro registro de actividad de WP fue “retirado temporalmente del director de complementos de WordPress.org”. Envié un remedio el viernes 28 de febrero de 2020 a las 4:08 pm. Nos llevó solo 16.5 horas lanzar el remedio. Hubiéramos resuelto el problema mucho antes si esto hubiera sucedido durante nuestro programa de trabajo normal (tenemos la sede en Europa), porque tenemos un muy buen tiempo de respuesta. Nuestro complemento se renovó el lunes 2 de marzo de 2020 a la 1:00 p.m. Es decir, 69 horas después de enviar el remedio. Es importante tener en cuenta que el equipo ha tardado tanto en restaurar el complemento debido al fin de semana.

¿Por qué escribo eso? Me gustaría enfatizar que creo que los complementos ininterrumpidos que tienen problemas de seguridad deben suspenderse del almacén de WordPress. También tengo un gran respeto por el trabajo que hacen los voluntarios en el equipo de examen de arado y también asumiré toda la responsabilidad del problema de seguridad reportado. Sin embargo, creo que los problemas de seguridad reportados en los complementos de mantenimiento podrían ser mejor administrados. Debido a cómo se gestionan en este momento, la reputación del complemento recibe un gran impacto negativo, y sus usuarios y sitios están en peligro. Por lo tanto, al final de esta publicación, destaco algunas posibles mejoras que podrían ayudar y creo que deberían considerarse. La idea es siempre poner a menos usuarios en peligro y reducir el impacto en los complementos y los desarrolladores.
En esta publicación, también documento todos los detalles de lo que sucedió y explico la vulnerabilidad de los casos marginales de baja gravedad relacionada con nuestro complemento. ¿Cuál es el procedimiento para informar un problema de seguridad del complemento de WordPress? Desde las pautas oficiales en el manual del complemento: cada intento de contactar al desarrollador debe hacerse directamente antes de informar nuestro complemento (aunque entendemos que esto puede ser difícil: verifique primero el código fuente, muchos desarrolladores enumeran sus correos electrónicos). Si no puede contactarlos en privado, contáctenos directamente y lo ayudaremos. ¿Qué sucedió en nuestro caso? Dejamos muy claro en el complemento que lo desarrolla. ¡Mire la página del complemento en el almacén y obtendrá una idea! También es muy fácil contactarnos. Sin embargo, nadie nos dijo el problema de seguridad antes de que el complemento se retire temporalmente del almacén de arados. Por lo tanto, alguien informó el problema del equipo de examen de complemento de WordPress y retira temporalmente nuestro complemento del almacén sin ninguna notificación previa. Antes de ver por qué y qué, y qué es bueno, malo y qué se puede mejorar, para echar un vistazo a la vulnerabilidad del complemento y una breve explicación sobre quiénes somos.
¿Cuál fue la vulnerabilidad del complemento? Tenemos un asistente de instalación en el registro de actividades de WP para ayudar a los usuarios a configurar el complemento. Una de las configuraciones de expertos le permite a los no administradores leer las revistas de actividad.
Sin embargo, cometí un error; No verifiqué si el usuario que ejecuta el asistente fue autenticado. Por lo tanto, los usuarios no autorizados podrían ejecutar el asistente y permitir que otro usuario u otro rol acceda a la configuración del complemento. Sin embargo, este es un problema de baja gravedad del caso marginal. ¿Por qué es este un problema de seguridad del caso marginal de baja gravedad? Los atacantes solo podrían explotar esto si:

El asistente de instalación nunca ha sido completado por el instalador,
Los atacantes ya tenían un usuario/tenían acceso a un usuario en el sitio,
Los atacantes solo pueden obtener acceso a la configuración del complemento y al diario de actividad.
Al explotar estos problemas de seguridad, los atacantes no tienen acceso a otros privilegios en el sitio web de WordPress. Por lo tanto, esta operación no tiene un efecto negativo en el comportamiento y la funcionalidad del sitio en sí.
La prueba de concepto el POC es muy simple. Visite esta página como un usuario no autorizado: http://example.com/wp-admin/admin-post.php?page=wsal-setup&current-step=access es el paso del mago que le permite ver quién puede ver los diarios. Busque el “_WPNONCE” sin cerveza en la fuente de la página HTML, copielo e insértelo en el siguiente orden: $ curl ‘http://example.com/wp-admin/admin-post.php?page=wsal-setup&current-step= Acceso ‘-d’ _WPNONCE = insert-noz-here & wsal-access = yes & editores%5b%5d = subaton & save_step = next “una vez que se conecta como suscriptor y tendrá acceso completo a la configuración del complemento.
¿Por qué creemos que este caso fue tratado mal? En el correo electrónico que se nos envió, fueron los siguientes: no cerramos los complementos fácilmente, y cuando se trata de problemas de seguridad, tratamos de equilibrar el volumen de los usuarios y el historial de los desarrolladores con la gravedad y el potencial de deterioro del informe. Creo que nuestro complemento se retiró demasiado temprano. Hasta aquí;
Cuando tuve problemas en el pasado, siempre los he resuelto en unas pocas horas. Hice lo mismo esta vez.
Siempre he respondido a tiempo cuando el equipo de examen de arado se puso en contacto.

El problema de seguridad solo afectó nuestro complemento (baja gravedad) y fue un límite.
El problema de seguridad no se pudo explotar automáticamente.
El único daño que el atacante podía hacer fue cambiar la configuración del complemento, leer las revistas de actividad o limpiarlas.
¿Qué piensan otros desarrolladores sobre tales situaciones? La mayoría de nosotros ya hemos leído un artículo, tweet o mensaje en redes sociales sobre problemas similares. Sin embargo, quería averiguar qué piensan otras personas, especialmente los desarrolladores, al respecto. Creo que esto es importante porque podrían ser algunas cosas que no veo.
Para empezar, envié un correo electrónico a la persona que identificó el problema, agradeciéndoles la divulgación responsable. Su respuesta fue: “Me alegra ver que rápidamente resolvió el problema en el complemento. Por cierto, noté que la gente de WordPress.org lo cerró durante unos días, eso fue un poco difícil y no era realmente necesario “. – Jerome Bruandet. También hice una pequeña encuesta en el grupo de Facebook que vende productos de WordPress. Aunque este grupo es pequeño, la mayoría de sus miembros son desarrolladores de arados y temas. De la encuesta podemos ver que los desarrolladores están de acuerdo por unanimidad de que, en caso de problemas de baja gravedad, los desarrolladores deben ser contactados y darles la oportunidad de proporcionar un remedio y no retirar el complemento: ¿Cómo puedo mejorar estos procedimientos? Hasta donde yo sé, no hay procedimientos documentados para cuando alguien informa un problema de seguridad en un complemento. Si este es el caso, procedimientos como los siguientes podrían ayudar a los desarrolladores y también poner a menos personas en peligro. Póngase en contacto con los desarrolladores y acordó un plan de acción antes de cerrar el complemento El equipo de examen de arado puede intentar contactar a los desarrolladores y confirmar la vulnerabilidad antes de cerrar el complemento. Los desarrolladores deben responder con un plan de acción, incluida una fecha razonable para la remediación.
Si es necesario, el equipo de examen de arado puede establecer una fecha límite. Por ejemplo, los desarrolladores deben tener entre 12 y 24 horas para remediar el problema. Sin embargo, en algunos casos puede necesitar más tiempo, dependiendo de la zona horaria en la que se encuentre. Si los desarrolladores no responden, el complemento debe retirarse del almacén. Determine la gravedad y el tipo de problema de seguridad Esto podría estar abierto al debate. Sin embargo, alguien con poca experiencia en seguridad puede decir fácilmente si un problema de seguridad informado puede explotarse automáticamente, si es un límite o no y cuál es su impacto en el informe informado (POC). Compruebe si los desarrolladores cumplen con el plan de acción deben ser un tipo de verificación para confirmar que los desarrolladores envían remedio a tiempo y se limitan a cualquier otra tarea incluida en el plan de acción. Retirar los complementos mantenidos del almacén no ayuda en el caso de los complementos de mantenimiento, su retiro del almacén hace más daño que bien. Por ejemplo; hacer público que el complemento tenga un problema, muy probablemente un problema de seguridad. Esto plantea muchas alarmas y coloca el complemento en el centro de atención. Así es como invitas a los atacantes, diciéndoles que algo en el complemento es posiblemente explotable.
Exhibe la base actual de los usuarios de complementos, porque de repente, sus sitios se han convertido en un objetivo. La mayoría de los usuarios no tienen idea de lo que deben hacer, especialmente si la funcionalidad del complemento es esencial para su sitio y negocio.
Aumente las posibilidades de retrasar el remedio. Esto generalmente es causado por la falta de comunicación o debido a las vacaciones y los fines de semana. Puede argumentar que al retirar un complemento del almacén, detenga la propagación de la infección. Sin embargo, si el problema de seguridad es de baja gravedad, la operación no se puede automatizar y la divulgación es responsable, no hay riesgos involucrados o los riesgos son extremadamente bajos. Descargo de responsabilidad: este no es un ataque, me gustaría enfatizar que este no es un ataque al equipo de examen de complementos de WordPress ni a cualquier persona involucrada en estos procesos. Honestamente, respeto su trabajo y sé que lo que hago se hace de buena fe. Sin embargo, ciertamente hay un lugar de mejora, como en cualquier otro sistema y proceso. Muchos probablemente me dirán que si quiero un cambio, debería ser voluntario en lugar de escribir esta publicación. Estoy tratando de unirme por algún tiempo; Hablé con más personas de diferentes WordCamps para involucrarse y también monitoreé la página Crear complementos de WordPress para voluntarios. Sin embargo, en los últimos años no han tenido vacantes. Cuando necesitaban ayuda, nuevos miembros agregaron solo por invitación.