Recientemente se ha dado a conocer una vulnerabilidad de tipo Zero Day en un complemento para Wordpress. TimThumb es un complemento para imágenes usado en varios temas (themes) y plugins.

Wordpress es una herramienta de gestión de contenidos (CMS) con más de 30 mil plugins. Estos complementos son funciones personalizadas que permiten a los usuarios adaptar sus sitios a necesidades específicas, lo que facilita su configuración y uso. Por eso es muchas personas optan por herramientas como Wordpress.

Si utilizas TimThumb para reducir el tamaño de imágenes y convertirlas en thumbnails (vista miniatura de imágenes), asegúrate de actualizar a la versión más reciente. Para hacerlo puedes visitar el sitio de TimThumb y revisar sus correspondientes actualizaciones.

Ejecución remota de código

La vulnerabilidad descubierta por Pichaya Morimoto en TimThumb, en Wordpress 2.8.13, reside en su característica “Webshot”. Cuando esta se encuentra activada, le permite a un atacante ejecutar comandos remotamente.

Particularmente, lo que sucede es que se ejecuta código PHP arbitrario de forma remota en el sitio afectado, lo cual lo deja comprometido a voluntad del cibercriminal. Hasta el momento no se encuentran parches disponibles para corregir esta falla.

Explotando la vulnerabilidad, un ciberdelincuente puede crear, eliminar y modificar los archivos en el servidor. Si utiliza el comando rm puede eliminar un archivo, mientras que con el comando touch, es posible permite cambiar fecha y hora de la última modificación en archivos existentes, pero también permite crear un archivo vacío si este no se encuentra.

¿Qué versiones son vulnerables?

Debido a la gran cantidad de complementos y temas que existen para Wordpress, muchos de estos utilizan por defecto las librerías de TimThumb. Algunos son:

Vale la pena mencionar también que los temas de Wordpress que provienen de Themify usan Wordthumb vulnerable en la ubicación /Themify/img.php.

Como punto positivo, TimThumb por defecto viene con WebShot desactivado, lo que quiere decir que son vulnerables aquellas instalaciones donde la funcionalidad fue permitida manualmente.

Cómo comprobar y desactivar TimThumb WebShot

  1. Abrir el archivo del tema o complemento, que normalmente se encuentra en:
    /wp-content/themes//ruta/al/timthumb.php
  2. Buscar la línea WEBHOST_ENABLED
  3. Una vez encontrada ‘WEBSHOT_ENABLED’, true. Aquí debe definirse como falso para deshabilitarlo, ‘WEBSHOT_ENABLED’,false

Hace unos días atrás, también fuimos testigos de cómo fue vulnerado el complemento All in One SEO para Wordpress, a través del cual también se veía comprometido el sitio web.

Desde el Laboratorio de Investigación de ESET Latinoamérica recomendamos deshabilitar los complementos que no sean necesarios, deshabilitar momentáneamente TimThumb como se mencionó más arriba y mantenerse al tanto de nuevas actualizaciones para corregir este tipo de fallas. También para cubrir aspectos generales de Wordpress, les dejamos esta guía para fortalecerlo.