imágenes falsas
Los piratas informáticos están atacando sitios web que utilizan un destacado complemento de WordPress con millones de intentos para explotar una vulnerabilidad de alta gravedad que permite una toma de control completa, dijeron los investigadores.
La vulnerabilidad reside en WordPress automático, un complemento con más de 38.000 clientes de pago. Los sitios web que ejecutan el sistema de gestión de contenidos WordPress lo utilizan para incorporar contenido de otros sitios. Investigadores de la empresa de seguridad Patchstack revelado el mes pasado que las versiones 3.92.0 e inferiores de WP Automatic tenían una vulnerabilidad con una clasificación de gravedad de 9,9 sobre 10 posibles. El desarrollador del complemento, ValvePress, publicó silenciosamente un parche, que está disponible en las versiones 3.92.1 y posteriores.
Los investigadores han clasificado la falla, rastreada como CVE-2024-27956, como una inyección SQL, una clase de vulnerabilidad que surge de una falla de una aplicación web al consultar correctamente las bases de datos backend. La sintaxis SQL utiliza apóstrofes para indicar el principio y el final de una cadena de datos. Al ingresar cadenas con apóstrofos especialmente ubicados en campos vulnerables del sitio web, los atacantes pueden ejecutar código que realiza diversas acciones confidenciales, incluida la devolución de datos confidenciales, otorgar privilegios administrativos al sistema o alterar el funcionamiento de la aplicación web.
“Esta vulnerabilidad es muy peligrosa y se espera que sea explotada masivamente”, escribieron los investigadores de Patchstack el 13 de marzo.
Empresa asociada de seguridad web WPScan dijo el jueves que ha registrado más de 5,5 millones de intentos de explotar la vulnerabilidad desde la divulgación del 13 de marzo por parte de Patchstack. Los intentos, dijo WPScan, comenzaron lentamente y alcanzaron su punto máximo el 31 de marzo. La empresa no dijo cuántos de esos intentos tuvieron éxito.
WPScan dijo que CVE-2024-27596 permite a los visitantes del sitio web no autenticados crear cuentas de usuario de nivel de administrador, cargar archivos maliciosos y tomar el control total de los sitios afectados. La vulnerabilidad, que reside en cómo el complemento maneja la autenticación del usuario, permite a los atacantes eludir el proceso de autenticación normal e inyectar código SQL que les otorga privilegios elevados del sistema. Desde allí, pueden cargar y ejecutar cargas útiles maliciosas que cambian el nombre de archivos confidenciales para evitar que el propietario del sitio o otros piratas informáticos controlen el sitio secuestrado.
Los ataques exitosos suelen seguir este proceso:
- Inyección SQL (SQLi): Los atacantes aprovechan la vulnerabilidad SQLi en el complemento WP‑Automatic para ejecutar consultas no autorizadas a bases de datos.
- Creación de usuario administrador: Con la capacidad de ejecutar consultas SQL arbitrarias, los atacantes pueden crear nuevas cuentas de usuario de nivel de administrador dentro de WordPress.
- Carga de malware: Una vez que se crea una cuenta de nivel de administrador, los atacantes pueden cargar archivos maliciosos, generalmente shells web o puertas traseras, al servidor del sitio web comprometido.
- Cambio de nombre de archivos: El atacante puede cambiar el nombre del archivo WP-Automatic vulnerable para asegurarse de que solo él pueda explotarlo.
Los investigadores de WPScan explicaron:
Una vez que un sitio de WordPress se ve comprometido, los atacantes garantizan la longevidad de su acceso creando puertas traseras y ofuscando el código. Para evadir la detección y mantener el acceso, los atacantes también pueden cambiar el nombre del archivo vulnerable WP-Automatic, lo que dificulta que los propietarios de sitios web o las herramientas de seguridad identifiquen o bloqueen el problema. Vale la pena mencionar que también puede ser una forma que los atacantes encuentren para evitar que otros actores malintencionados exploten con éxito sus sitios ya comprometidos. Además, dado que el atacante puede usar los altos privilegios adquiridos para instalar complementos y temas en el sitio, notamos que, en la mayoría de los sitios comprometidos, los delincuentes instalaron complementos que les permitieron cargar archivos o editar código.
Los ataques comenzaron poco después del 13 de marzo, 15 días después de que ValvePress lanzara la versión 3.92.1 sin mencionar el parche crítico en las notas de la versión. Los representantes de ValvePress no respondieron de inmediato a un mensaje en busca de una explicación.
Si bien los investigadores de Patchstack y WPScan están clasificando CVE-2024-27956 como inyección SQL, un desarrollador experimentado dijo que su interpretación de la vulnerabilidad es que se trata de una autorización inadecuada (CWE-285) o una subcategoría de control de acceso inadecuado (CWE-284).
“Según Patchstack.comel programa es supuesto recibir y ejecutar una consulta SQL, pero sólo de un usuario autorizado”, escribió en una entrevista online el desarrollador, que no quiso utilizar su nombre. “La vulnerabilidad está en cómo verifica las credenciales del usuario antes de ejecutar la consulta, lo que permite a un atacante eludir la autorización. La inyección SQL ocurre cuando el atacante inserta código SQL en lo que se suponía que eran solo datos, y ese no es el caso aquí”.
Cualquiera que sea la clasificación, la vulnerabilidad es tan grave como parece. Los usuarios deben parchear el complemento inmediatamente. También deben analizar cuidadosamente sus servidores en busca de signos de explotación utilizando los indicadores de datos de compromiso proporcionados en la publicación de WPScan vinculada anteriormente.