Underc0de - La Casa de los Informáticos

Una campaña masiva de explotación activa está afectando a miles de sitios web de WordPress mediante la explotación de vulnerabilidades críticas en los populares complementos GutenKit y Hunk Companion. Estas fallas, descubiertas hace casi un año, están siendo aprovechadas por ciberdelincuentes para lograr ejecución remota de código (RCE) y comprometer por completo los servidores vulnerables.

La firma de seguridad especializada Wordfence informó que bloqueó más de 8,7 millones de intentos de ataque contra sitios protegidos por su firewall solo durante los días 8 y 9 de octubre, lo que evidencia la magnitud y velocidad de esta campaña.

Vulnerabilidades críticas activamente explotadas

Las fallas que los atacantes están utilizando han sido identificadas como CVE-2024-9234, CVE-2024-9707 y CVE-2024-11972, todas con una puntuación CVSS de 9.8, la más alta dentro de la escala de gravedad. Estas vulnerabilidades permiten a los atacantes instalar complementos maliciosos y ejecutar código arbitrario sin autenticación.

Detalles de las vulnerabilidades

• CVE-2024-9234 (GutenKit):

Afecta al complemento GutenKit (con más de 40.000 instalaciones activas). Se trata de una falla en un endpoint REST no autenticado que permite la instalación de complementos arbitrarios sin necesidad de credenciales.

• Versiones afectadas: GutenKit 2.1.0 y anteriores
• Versión corregida: GutenKit 2.1.1 (octubre de 2024)

• CVE-2024-9707 y CVE-2024-11972 (Hunk Companion):

Ambas afectan al complemento Hunk Companion, utilizado en alrededor de 8.000 sitios. Estas vulnerabilidades implican falta de autorización en el endpoint REST themehunk-import, lo que también permite la instalación no autorizada de complementos.

Versiones afectadas:

• CVE-2024-9707: Hunk Companion 1.8.4 y anteriores
• CVE-2024-11972: Hunk Companion 1.8.5 y anteriores
• Versión corregida: Hunk Companion 1.9.0 (diciembre de 2024)

Aunque los desarrolladores publicaron parches de seguridad hace casi un año, Wordfence advierte que miles de sitios web aún utilizan versiones vulnerables, lo que deja un amplio margen de ataque para los actores maliciosos.

Cómo operan los atacantes

Los investigadores descubrieron que los ciberdelincuentes están alojando en GitHub un complemento malicioso comprimido en un archivo ZIP llamado "up", el cual se instala automáticamente en los sitios comprometidos.

Este paquete contiene scripts ofuscados capaces de:

• Subir, descargar o eliminar archivos.
• Modificar permisos del sistema.
• Inyectar código malicioso.
• Mantener persistencia en el servidor.

Uno de los scripts, protegido por contraseña y disfrazado como parte del complemento "All in One SEO", permite al atacante iniciar sesión automáticamente como administrador, otorgándole control total sobre el sitio.

Si los atacantes no logran establecer una puerta trasera completa, suelen instalar otro complemento vulnerable llamado "wp-query-console", que puede explotarse para obtener ejecución remota de código sin autenticación (RCE).

Indicadores de compromiso y direcciones IP sospechosas

Wordfence ha identificado varias direcciones IP que impulsan altos volúmenes de tráfico malicioso, lo que permite a los administradores crear reglas de defensa y bloqueo más efectivas.

Los expertos recomiendan revisar los registros de acceso (access logs) en busca de las siguientes solicitudes sospechosas:

• /wp-json/gutenkit/v1/install-active-plugin
• /wp-json/hc/v1/themehunk-import

Asimismo, es vital inspeccionar los siguientes directorios del servidor en busca de archivos o complementos no autorizados:

• /up
• /background-image-cropper
• /ultra-seo-processor-wp
• /oke
• /wp-query-console

La presencia de cualquiera de estos elementos podría indicar un compromiso activo o una intrusión previa.

Recomendaciones de seguridad para administradores de WordPress

Dado que estas vulnerabilidades se están explotando activamente, los administradores deben actuar de inmediato para proteger sus sitios:

• Actualizar GutenKit a la versión 2.1.1 o superior y Hunk Companion a la versión 1.9.0 o superior.
• Eliminar complementos o temas no utilizados que puedan contener código vulnerable.
• Monitorear los logs de acceso y error en busca de actividad inusual.
• Implementar un firewall de aplicaciones web (WAF) como Wordfence o Sucuri para bloquear intentos de explotación automatizada.
• Cambiar contraseñas y tokens de acceso si se detecta actividad sospechosa.
• Realizar copias de seguridad periódicas y almacenarlas fuera del servidor principal.

Un llamado urgente a la actualización y vigilancia

El auge de los ataques dirigidos a WordPress demuestra que los complementos desactualizados siguen siendo una de las principales puertas de entrada para los ciberdelincuentes. A pesar de que las correcciones se lanzaron hace meses, la falta de actualización en miles de sitios sigue exponiendo a empresas, blogs y tiendas en línea a riesgos de control remoto y robo de datos.

En un entorno donde las campañas de explotación se automatizan y escalan globalmente en cuestión de horas, mantener el software actualizado y aplicar medidas proactivas de ciberseguridad es la única forma de garantizar la integridad y continuidad de los sitios WordPress.

Fuente: https://www.bleepingcomputer.com/