Please enter CoinGecko Free Api Key to get this plugin works.

Bl0ckch41nnewsVulnerabilidad crítica de SQLi en WP-Automatic permite tomar control del servidor (hay exploit)

36


Delincuentes informáticos están atacando sitios web que utilizan el conocido
complemento de
WordPress Automatic. El ataque intenta explotar una vulnerabilidad de alta gravedad que permite
una toma total del control de WordPress.

La vulnerabilidad reside en WordPress Automatic, un complemento con más de
38.000 clientes de pago. Los sitios web que ejecutan el sistema de gestión de
contenidos WordPress lo utilizan para incorporar contenido de otros sitios.
Investigadores de la empresa
Patchstack revelaron
el mes pasado que las versiones 3.92.0 e inferiores de WP Automatic tenían una
vulnerabilidad con una clasificación de gravedad de 9,9 sobre 10 posible.
El desarrollador del complemento, ValvePress, publicó silenciosamente un
parche, que está disponible en la versión 3.92.1.

Los investigadores han clasificado la falla, rastreada como CVE-2024-27956,
como una inyección SQL, una clase de vulnerabilidad que surge de una falla de
una aplicación web al consultar correctamente las bases de datos
backend.

WPScan dijo que
CVE-2024-27596
permite a los visitantes del sitio web no autenticados crear cuentas de
usuario de nivel de administrador, cargar archivos maliciosos y tomar el
control total de los sitios afectados.
 La vulnerabilidad, que reside en cómo el complemento maneja la
autenticación del usuario, permite a los atacantes eludir el proceso de
autenticación normal e inyectar código SQL que les otorga privilegios elevados
del sistema. Desde allí, pueden cargar y ejecutar cargas útiles maliciosas que
cambian el nombre de archivos confidenciales para evitar que el propietario
del sitio o otros piratas informáticos controlen el sitio secuestrado.

«Esta vulnerabilidad es muy peligrosa y se espera que sea explotada
masivamente»
, escribieron los investigadores de Patchstack el 13 de marzo. Incluso ya se
encuentra un
exploit público
que permite tomar control del servidor a través de una shell reversa.

Los ataques comenzaron poco después del 13 de marzo, 15 días después de que
ValvePress lanzara la versión 3.92.1 sin mencionar el parche crítico en las
notas de la versión.

La firma de seguridad web
WPScan dijo que ha registrado más de 5,5 millones de intentos de explotar la
vulnerabilidad desde la divulgación del 13 de marzo por parte de Patchstackla divulgación del 13 de marzo por parte de Patchstack. Los intentos comenzaron lentamente y alcanzaron su punto máximo el 31 de
marzo. La empresa no dijo cuántos de esos intentos tuvieron éxito.

Los ataques exitosos suelen seguir este proceso:

  • Inyección SQL (SQLi): los atacantes aprovechan la vulnerabilidad SQLi en el
    complemento WP‑Automatic para ejecutar consultas no autorizadas a bases de
    datos.
  • Creación de usuarios administradores: con la capacidad de ejecutar consultas
    SQL arbitrarias, los atacantes pueden crear nuevas cuentas de usuarios de
    nivel administrador dentro de WordPress.
  • Carga de malware: una vez que se crea una cuenta de nivel de administrador,
    los atacantes pueden cargar archivos maliciosos, generalmente shells web o
    puertas traseras, al servidor del sitio web comprometido.
  • Cambio de nombre de archivos: el atacante puede cambiar el nombre del
    archivo WP-Automatic vulnerable para asegurarse de que solo él pueda
    explotarlo.

Una vez que un sitio de WordPress se ve comprometido, los atacantes garantizan
su persistencia y forma de acceso creando puertas traseras y ofuscando el
código. Para evadir la detección y mantener el acceso, los atacantes también
pueden cambiar el nombre del archivo vulnerable WP-Automatic, lo que dificulta
que los propietarios de sitios web o las herramientas de seguridad
identifiquen o bloqueen el problema.

Vale la pena mencionar que también puede ser una forma que los atacantes
encuentran para evitar que otros actores malintencionados exploten con éxito
sus sitios ya comprometidos. Además, dado que el atacante puede usar los altos
privilegios adquiridos para instalar complementos y temas en el sitio, notamos
que, en la mayoría de los sitios comprometidos, los delincuentes instalaron
complementos que les permitieron cargar archivos o editar código.

Cualquiera que sea la clasificación,
la vulnerabilidad es tan grave como parece. Los usuarios deben parchear
el complemento inmediatamente. También deben analizar cuidadosamente sus
servidores en busca de signos de explotación utilizando los indicadores de
datos de compromiso.

Fuente:
WPScan



Source link

Los comentarios están cerrados.