2018-02-06

Nuevo #WordPress 4.9.3, actualización de mantenimiento

Ya se encuentra disponible una nueva versión de mantenimiento WordPress 4.9.3.

Figura 1: WordPress 4.9.3

Esta versión de mantenimiento soluciona 34 fallos de la versión 4.9, incluyendo soluciones a los registros de cambios del Personalizador, widgets, el editor visual, y compatibilidad con PHP 7.2. Para ver la lista de cambios consulta la lista de tickets y el registro de cambios.

Es muy importante llevar adelante y ejecutar esta actualización, para evitar cualquier tipo de problemas.

Por otro lado, para aprender a implementar diferentes esquemas de mantenimiento y actualización, no se olviden que se encuentra disponible mi libro "Máxima Seguridad en WordPress" publicado por la editorial 0xWORD.


Además, se encuentra el curso virtual de Seguridad en Entornos WordPress HCSWP para no perderse ningún detalle, con videos prácticos y mucha documentación.


Saludos!

Fuente | WordPress en español

2018-02-05

#OWASP Top 10 en español por @SeguInfo

Luego de haberse publicado la RC1 en junio de 2017, la RC2 en noviembre y la versión final en inglés en noviembre, finalmente llevaron a una actualización en la metodología de recopilación de datos, y finalmente se ha lanzado la versión de OWASP Top 10 en Español.

Figura 1: OWASP Top 10 - Español

Esta importante actualización agrega varios tipos de vulnerabilidades nuevas, incluidos dos problemas seleccionados por la comunidad. Los comentarios de la comunidad generaron la mayor recopilación de datos de la historia de OWASP y permitió la preparación de un nuevo estándar de seguridad de aplicaciones.

El Top 10 de OWASP 2017 se basa principalmente en más de 40 presentaciones de datos de firmas especializadas en seguridad de aplicaciones y una encuesta de la industria que fue completada por 515 personas. Estos datos abarcan vulnerabilidades recopiladas de cientos de organizaciones y
más de 100.000 aplicaciones y APIs del mundo real. Los 10 elementos principales se seleccionaron y priorizaron de acuerdo con estos datos de prevalencia, en combinación con estimaciones consensuadas de explotabilidad, detectabilidad e impacto.

Mi saludos de agradecimientos a Cristian Borghello y a Gerardo Canedo de OWASP Uruguay que participaron en la traducción oficial al español de OWASP Top 10.

Fuente | Segu-Info

2018-02-02

Comprometidos los paquetes oficiales del popular sistema de foros #phpBB

El pasado 26 de enero un atacante desconocido comprometió el sitio oficial del popular sistema de foros phpBB, suplantando dos paquetes oficiales por otros que contenían ficheros maliciosos. En concreto han sido suplantadas las versiones phpBB 3.2.2 y el parche para actualizar de la versión 3.2.1 a la 3.2.2.

Comprometidos los paquetes oficiales del popular sistema de foros phpBB

Los enlaces a los archivos fraudulentos sólo estuvieron activos durante tres horas. En este tiempo casi 500 personas descargaron el paquete comprometido.

El equipo de phpBB todavía está investigando los vectores de ataque, pero ha declarado que ni el dominio oficial phpBB.com ni la aplicación fueron explotados en el ataque.

El código malicioso cargaba código JavaScript desde una infraestructura remota que actualmente se encuentra en control del equipo de phpBB, por lo que la amenaza ya se encuentra neutralizada.

Como medida preventiva ante este tipo de ataques recomendamos siempre comparar las sumas SHA o MD5 de los ficheros descargados con las publicadas en el sitio oficial.

Enlace | Hispasec una-al-dia

2018-01-30

Nueva campaña de KeyLogger en #WordPress

Una nueva campaña de malware ha sido descubierta, la cual está infectando a sitios web con WordPress instalando un KeyLogger que además está siendo aprovechado para minar #Bitcoins.


El malware ha sido descubierto por el investigador de seguridad de Sucuri, Denis Sinegubko, el cual tiene sospechas que esta nueva campaña pueda estar ligada a la campaña que sufrió este CMS en diciembre de 2017, en la cual se afectó a unos 5500 sitios web. El motivo de esta sospecha es debido a que en los dos ataque realizados se utilizó este keylogger de criptomoneda como método de ataque, un malware llamado “cloudflare[.]solutions”, aunque hay que aclarar que este malware no tiene nada que ver con la empresa Cloudflare.

El nombre de este malware es debido a que los scripts utilizados utilizaban los recursos de este dominio, actualmente inactivo, aunque esta nueva versión ya tiene nuevos dominios registrados como cdjs[.]online, cdns[.]ws y msdns[.]online.

El ataque se realiza en sitios WordPress con una seguridad débil, por medio de la injección de scripts en base de datos (en tabla "wp_posts") o en el archivo "functions.php".

Como medida de limpieza, se recomienda eliminar el código malicioso de los ficheros de temas "functions.php", revisar las tablas "wp_posts" y cambiar todas las contraseñas del sitio web.

Fuente | una-al-dia Hispasec

Entradas populares