Tag Archives: auditoria

Auditando seguridad de WordPress con WPScan

Es conocido que WordPress es uno de los sistemas de gestión de contenidos más utilizados a lo largo de la red. La sencillez que provee a la hora de gestionar los distintos artículos generados por los autores y la diversidad de plugins existentes han transformado a esta plataforma de CMS en una de los más populares. Sin embargo, es muy recomendable auditar la seguridad del blog que utilice WordPress y de esa forma poder determinar si es vulnerable o no. Para ello, existe una herramienta sumamente recomendable llamada WPScan.

Han existido casos donde la seguridad de un blog ha sido vulnerada por algún plugin de terceros que ha sido instalado en el servidor. Un ejemplo claro de esto fue la vulnerabilidad en el módulo Count Per Day de WordPress. Otro caso de gran repercusión fue el aquel donde WordPress fue vector de propagación de Flashback. Los ciberdelincuentes pudieron lograr esto a través de plugins que permitieron la inyección de código al sitio original.

Debido a esta problemática es importante evaluar la seguridad de los blog así como también considerar los diferentes plugins instalados. WPScan es una herramienta que se actualiza periódicamente y contempla muchos de los plugins instalados así como sus problemas de seguridad.

Con WPScan es posible determinar los plugins que fueron instalados en WordPress a través del siguiente comando:

De esta manera, es posible enumerar y conocer los plugins que se encuentran instalados. Para aquellos que fueron detectados, se realiza un chequeo contra vulnerabilidades conocidas en los mismos. En caso de que el resultado sea afirmativo, WPScan informará sobre la vulnerabilidad y proveerá un enlace con más información y, en algunos casos, indicará el exploit público para explotar la misma. A continuación, puede visualizarse una captura con los plugins detectados por WPScan en un entorno de prueba:

Screenshot from 2013-08-23 16:42:08

Asimismo, mediante el siguiente comando es posible enumerar aquellos usuarios que utilizan la plataforma:

WPScan posee un módulo que permite realizar fuerza bruta sobre aquellos usuarios que fueron enumerados utilizando un archivo del tipo diccionario. Mediante esta técnica será posible auditar la fortaleza de las contraseñas utilizadas por los usuarios del sistema. Es importante recordar que las contraseñas siguen siendo el punto débil de los usuarios.

Otra de las funcionalidades que brinda WPScan es información sobre el tema (perfil gráfico) que tiene instalado el blog. Además, especifica la versión de WordPress que se encuentra instalada en el servidor. Esto puede utilizarse para comprobar de que realmente se esté utilizando la versión más actual del sistema de gestión de contenidos. Además, en caso de que se tenga instalado una versión vulnerable de WordPress, WPScan especificará información relevante sobre dichas vulnerabilidades.

Si bien WPScan provee otras funcionalidades además de las especificadas, cabe destacar que la seguridad debe gestionarse en todo ámbito. Tal cómo hechos pasados lo han demostrado, una vulnerabilidad puede comprometer un sistema a nivel general. Realizando pruebas similares, y conociendo de forma más profunda el escenario global de aquellos sistemas que se gestionen, es posible estar preparados y disminuir las probabilidades de sufrir un ataque.

Nota: En la version de actual de Kali Linux (aka BackTrack) se ejecuta directamente con el comando “wpscan” ya que viene pre-compilado 

Comprueba si el Firewall funciona con Ftester

Ftester es una herramienta que permite averiguar si el Firewall funciona correctamente como espera que lo haga, cuando ya lo ha puesto en marcha. Pero ¿ha comprobado que está bloqueando todo lo que se supone que debe bloquear? Quizá no porque haya pensado que le llevara mucho tiempo o es muy complejo utilizar fragmentación de paquetes manualmente.

Por suerte existe Ftester, una herramienta gratuita para probar en una auditoria o Hacking Etico intensivamente un Firewall cualquiera que sea.

Ftester está compuesto por tres programas escritos en Perl y permite inyectar paquetes personalizados desde un punto interno o externo de la red, entregando un log donde se evidencia cuales son los paquetes capaces de a travesar el cortafuegos.

El formato para inyectar paquetes UDP o TCP es el siguiente:

DirecciónIPOrigen:PuertoOrigen:DirecciónIPDestino:PuertoDestino:Protocolo:tos

En el campo opciones puede indicar que opciones TCP quiere que se incluyan en cada paquete. Los valores posibles son:

  • S para SYN
  • A para ACK
  • P para PSH
  • U para URG
  • R para RST
  • F para FIN

El campo protocolo permite seleccionar entre los protocolos TCP y UDP y tos contiene el numero que identifica el tipo de servicio (Type of Service) dentro de la cabecera IP. A veces, los routers utilizan el contenido de este campo para tomar decisiones sobre la prioridad del trafico. Para mas información del campo ToS lea el documeto RFC 791.

Por ejemplo la siguiente orden envia un paquete que parte de la IP 172.16.14.31 y el puerto 1025 a la IP 172.16.9.4 (<— Firewall) por el puerto 10000.

./ftester -c 172.16.9.31:1025:172.16.9.4:10000:s:tcp:0

Antes de ejecutar ftest debera poner en funcionamiento ftestd asi:

./ftestd -i eth0

Despues ejecute ftest

./ftest -f ftest.conf

La orden anterior le creara un log llamado ftest.log donde podra ver todos los datos de la auditoria, una buena pratica es utilizar ftest cada vez que realiza una nueva configuracion en el Firewall.

Descargar FTester