Novedades de la semana: DDoS y Release Candidates

Esta semana, tenemos dos grandes anuncios de dos de las plataformas de CMS más populares: Joomla y WordPress. Ambos equipos han lanzado nuevas versiones candidatas con una serie de nuevas características y mejoras.

El equipo de Joomla ha lanzado los candidatos para las nuevas versiones: Joomla 4.3.3 RC1 y Joomla 3.10.12 RC1. Estas versiones tienen como objetivo principal proporcionar a los desarrolladores una base sólida para probar sus extensiones y reportar problemas mucho antes del lanzamiento final. También permiten a los usuarios descubrir las nuevas características que se introducirán en Joomla 4.3.3.

Es importante mencionar que estas versiones candidatas no están destinadas a sitios en producción, sino que están diseñadas para pruebas y detección de errores.

WordPress también ha lanzado su última versión en desarrollo, WordPress 6.3 Beta 3. Al igual que Joomla, esta versión de WordPress está en desarrollo y no se recomienda para sitios web en producción.

Esta nueva versión incluye numerosas actualizaciones desde la versión Beta 2. Los probadores deben tener en cuenta que la “Biblioteca de Patrones” ahora se llama simplemente “Patrones” en la interfaz de usuario. Además, se ha añadido un icono de bloqueo para los patrones de temas.

Estos lanzamientos representan avances significativos para ambos CMS y destacan el compromiso de Joomla y WordPress con la mejora continua y el desarrollo de sus plataformas. Sin embargo, recuerda que estas versiones no están listas para su implementación en sitios de producción y están diseñadas para pruebas y detección de errores. 

La semana pasada comentábamos una vulnerabilidad crítica de escalada de privilegios en el plugin de WordPress Ultimate Member, un componente ampliamente utilizado en más de 200.000 sitios que facilita la creación de perfiles de usuario y comunidades.

El problema se origina debido a una lógica de lista de bloqueo insuficiente que permite a los atacantes alterar el valor de metadatos del usuario wp_capabilities (que controla el rol del usuario en el sitio) a ‘administrador’.

Aunque el plugin tiene una lista predefinida de claves prohibidas que un usuario no debería poder actualizar, existen formas triviales de eludir los filtros, tales como la utilización de diversos casos, barras y codificación de caracteres en un valor de meta clave suministrado en versiones vulnerables del plugin. Esta vulnerabilidad ha sido detectada tras la aparición de informes de cuentas de administrador no autorizadas en los sitios afectados.

Finalmente, los autores de Ultimate Member lanzaron la versión 2.6.7 del plugin el 1 de julio para abordar esta vulnerabilidad. Como medida de seguridad adicional, también planean incluir una nueva característica dentro del plugin para permitir a los administradores del sitio restablecer las contraseñas de todos los usuarios.

“2.6.7 introduce una lista blanca para las claves meta que almacenamos mientras enviamos formularios”, dijeron los encargados del mantenimiento en un comunicado independiente. “2.6.7 también separa los datos de configuración de los formularios y los datos enviados y los opera en 2 variables diferentes”.

Los usuarios de juegos populares como Diablo IV, World of Warcraft y Call of Duty, todos títulos de Activision Blizzard, han experimentado recientemente dificultades de conexión debido a un ataque de Denegación de Servicio Distribuido (DDoS) contra los servidores de la compañía.

Un ataque DDoS, aunque no es el más grave de los ciberataques, puede resultar muy perjudicial, ya que inunda los servidores con tráfico, causando sobrecarga y haciendo que los servicios, aplicaciones o sitios web sean inaccesibles durante horas o incluso días. En este caso, según un comunicado de Activision, el ataque duró más de 10 horas y se logró mitigar a última hora del domingo pasado. Sin embargo, algunos usuarios afirmaron no poder conectarse incluso varios días después.

Por el momento, Activision no ha identificado al grupo de piratas informáticos detrás del ataque y hasta ahora no ha habido reivindicaciones de autoría del incidente.

Activision Blizzard no es ajeno a los problemas de seguridad. Al comienzo de este año, la empresa confirmó que los ciberdelincuentes habían logrado infiltrarse en sus sistemas internos mediante un mensaje de phishing enviado por SMS a uno de sus empleados.

Además, en septiembre del año previo, Activision Blizzard se vio golpeado por un ataque DDoS que impidió a muchos usuarios disfrutar de sus juegos. La situación empeoró en octubre, cuando el lanzamiento del muy esperado Overwatch 2 se vio perturbado por problemas de conectividad de amplio espectro.

Estos incidentes subrayan la importancia de una sólida estrategia de ciberseguridad para las empresas que operan en el espacio digital, particularmente en la industria de los videojuegos que depende en gran medida de la conectividad en línea. A medida que los ciberdelincuentes continúan innovando y encontrando nuevas formas de interrumpir los servicios, las compañías de juegos deben estar preparadas para defenderse de estos ataques y minimizar cualquier interrupción potencial para sus jugadores.