17 may 2024

Vulnerabilidad crítica de SQLi en WP-Automatic permite tomar control del servidor (hay exploit)

Delincuentes informáticos están atacando sitios web que utilizan el conocido complemento de WordPress Automatic. El ataque intenta explotar una vulnerabilidad de alta gravedad que permite una toma total del control de WordPress.

La vulnerabilidad reside en WordPress Automatic, un complemento con más de 38.000 clientes de pago. Los sitios web que ejecutan el sistema de gestión de contenidos WordPress lo utilizan para incorporar contenido de otros sitios. Investigadores de la empresa Patchstack revelaron el mes pasado que las versiones 3.92.0 e inferiores de WP Automatic tenían una vulnerabilidad con una clasificación de gravedad de 9,9 sobre 10 posible. El desarrollador del complemento, ValvePress, publicó silenciosamente un parche, que está disponible en la versión 3.92.1.

Los investigadores han clasificado la falla, rastreada como CVE-2024-27956, como una inyección SQL, una clase de vulnerabilidad que surge de una falla de una aplicación web al consultar correctamente las bases de datos backend.

WPScan dijo que CVE-2024-27596 permite a los visitantes del sitio web no autenticados crear cuentas de usuario de nivel de administrador, cargar archivos maliciosos y tomar el control total de los sitios afectados. La vulnerabilidad, que reside en cómo el complemento maneja la autenticación del usuario, permite a los atacantes eludir el proceso de autenticación normal e inyectar código SQL que les otorga privilegios elevados del sistema. Desde allí, pueden cargar y ejecutar cargas útiles maliciosas que cambian el nombre de archivos confidenciales para evitar que el propietario del sitio o otros piratas informáticos controlen el sitio secuestrado.

"Esta vulnerabilidad es muy peligrosa y se espera que sea explotada masivamente", escribieron los investigadores de Patchstack el 13 de marzo. Incluso ya se encuentra un exploit público que permite tomar control del servidor a través de una shell reversa.

Los ataques comenzaron poco después del 13 de marzo, 15 días después de que ValvePress lanzara la versión 3.92.1 sin mencionar el parche crítico en las notas de la versión.

La firma de seguridad web WPScan dijo que ha registrado más de 5,5 millones de intentos de explotar la vulnerabilidad desde la divulgación del 13 de marzo por parte de Patchstackla divulgación del 13 de marzo por parte de Patchstack. Los intentos comenzaron lentamente y alcanzaron su punto máximo el 31 de marzo. La empresa no dijo cuántos de esos intentos tuvieron éxito.

Los ataques exitosos suelen seguir este proceso:

  • Inyección SQL (SQLi): los atacantes aprovechan la vulnerabilidad SQLi en el complemento WP‑Automatic para ejecutar consultas no autorizadas a bases de datos.
  • Creación de usuarios administradores: con la capacidad de ejecutar consultas SQL arbitrarias, los atacantes pueden crear nuevas cuentas de usuarios de nivel administrador dentro de WordPress.
  • Carga de malware: una vez que se crea una cuenta de nivel de administrador, los atacantes pueden cargar archivos maliciosos, generalmente shells web o puertas traseras, al servidor del sitio web comprometido.
  • Cambio de nombre de archivos: el atacante puede cambiar el nombre del archivo WP-Automatic vulnerable para asegurarse de que solo él pueda explotarlo.

Una vez que un sitio de WordPress se ve comprometido, los atacantes garantizan su persistencia y forma de acceso creando puertas traseras y ofuscando el código. Para evadir la detección y mantener el acceso, los atacantes también pueden cambiar el nombre del archivo vulnerable WP-Automatic, lo que dificulta que los propietarios de sitios web o las herramientas de seguridad identifiquen o bloqueen el problema.

Vale la pena mencionar que también puede ser una forma que los atacantes encuentran para evitar que otros actores malintencionados exploten con éxito sus sitios ya comprometidos. Además, dado que el atacante puede usar los altos privilegios adquiridos para instalar complementos y temas en el sitio, notamos que, en la mayoría de los sitios comprometidos, los delincuentes instalaron complementos que les permitieron cargar archivos o editar código.

Cualquiera que sea la clasificación, la vulnerabilidad es tan grave como parece. Los usuarios deben parchear el complemento inmediatamente. También deben analizar cuidadosamente sus servidores en busca de signos de explotación utilizando los indicadores de datos de compromiso.

Fuente: WPScan

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!