CRITICO: Nova vulnerabilidade no Timthumb em websites WordPress

Nova vulnerabilidade no TimThumb afeta websites WordPressUma nova vulnerabilidade foi anunciada na conhecida biblioteca Timthumb, utilizada em quase todos os websites em WordPress para manipular e mostrar imagens. Esta vulnerabilidade torna os websites com determinada configuração no Timthumb, vulneravel à execução arbitrária de código. Este tipo de ataques é muito sério, pois permitem ao atacante forçar o servidor a executar qualquer comendo que queiram.

Se tem um website em WordPress que usa o Timthumb, deve imediatamente verificar se o mesmo está vulnerável (ver em baixo).

O relatório da vulnerabilidade apenas lista a versão 2.8.13 do Timthumbs como vulneravel. No entanto fontes confirmaram que esta vulnerabilidade está presente no Timthumb desde a versão 2.4, tornando mais que provável que todas as versões em uso atualmente sejam vulneráveis a este ataque. Infelizmente, não existe nenhuma versão atualizado do Timthumb ainda.

O que devo fazer?


Devido a alguns temas alterarem o nome do ficheiro do Timthumb, pode não estar a salvo mesmo se não encontrar o ficheiro com o nome timthumb.php ou thumb.php. Para verificar se está vulnerável, pesquise todos os ficheiros que estão dentro do diretório wp-content pela palavra WEBSHOT_ENABLED. Se não encontrar nada é porque está a salvo

Se encontrar esta palavra, em algum ficheiro ou no ficheiro timthumb.php, efetue o seguinte procedimento:

Procure a linha: if(! defined('WEBSHOT_ENABLED') )  define ('WEBSHOT_ENABLED', false);  // Beta feature.

Verifique que WEBSHOT_ENABLED está seguido de false e estará seguro.

Se encontrar a sequência:

define ('WEBSHOT_ENABLED', true);

Então estará vulneravel. Para precaver a vulnerabilidade altere a sequencia para:

define ('WEBSHOT_ENABLED', false);

Se estiver vulnerável é também possível que já tenha sido infetado/atacado. Se não tiver os conhecimentos técnicos para verificar, recorra à ajuda do seu fornecedor de Alojamento ou alguém com conhecimentos técnicos que o possa ajudar.

E quanto à PTWS, o que foi feito?

A PTWS Alojamento Web já implementou uma regra no mod_security para bloquear estes ataques à cerca de 2h atrás (25/06/2014 18:30:00), o que não quer significar que o seu website não possa já ter sido atacado.

Ao mesmo tempo, está a decorrer uma pesquisa exaustiva a todos os ficheiros .php (bastante moroso) pela sequência em causa ('WEBSHOT_ENABLED', true) de forma a ajudar os nossos clientes a debelar esta vulnerabilidade no mais curto espaço de tempo. Todas as contas onde for encontrada a vulnerabilidade serão marcadas para investigação nos próximos dias.

Comentários e questões? Estamos cá para ajudar.

Sobre o Autor
Author Image
Carlos Santos é um dos Gestores de Clientes da PTWS. Responsavel por toda a área Técnica e de Sistemas da PTWS Lda., Engenheiro de formação, divide o seu dia na coordenação das actividades das equipas técnicas, no apoio total ao cliente final e à sua Familia.
Pode deixar um comentário, ou responder no seu blog.

Deixe a sua opinião