Los actores de amenazas están intentando explotar activamente una falla de seguridad crítica en el complemento WP-Automatic para WordPress que podría permitir la apropiación de sitios.
La deficiencia, rastreada como CVE-2024-27956tiene una puntuación CVSS de 9,9 sobre un máximo de 10. Afecta a todas las versiones del complemento anteriores a la 3.9.2.0.
«Esta vulnerabilidad, una falla de inyección SQL (SQLi), representa una grave amenaza ya que los atacantes pueden aprovecharla para obtener acceso no autorizado a sitios web, crear cuentas de usuario de nivel de administrador, cargar archivos maliciosos y potencialmente tomar el control total de los sitios afectados», WPScan dicho en una alerta esta semana.
Según la empresa propiedad de Automattic, el problema tiene su origen en el mecanismo de autenticación de usuario del complemento, que puede eludirse trivialmente para ejecutar consultas SQL arbitrarias en la base de datos mediante solicitudes especialmente diseñadas.
En los ataques observados hasta ahora, CVE-2024-27956 se utiliza para realizar consultas no autorizadas a bases de datos y crear nuevas cuentas de administrador en sitios de WordPress susceptibles (por ejemplo, nombres que comienzan con «xtw»), que luego podrían aprovecharse para posteriores publicaciones. acciones de explotación.
Esto incluye la instalación de complementos que permiten cargar archivos o editar código, lo que indica intentos de reutilizar los sitios infectados como escenarios.
«Una vez que un sitio de WordPress se ve comprometido, los atacantes garantizan la longevidad de su acceso creando puertas traseras y ofuscando el código», dijo WPScan. «Para evadir la detección y mantener el acceso, los atacantes también pueden cambiar el nombre del archivo vulnerable WP-Automatic, lo que dificulta que los propietarios de sitios web o las herramientas de seguridad identifiquen o bloqueen el problema».
El archivo en cuestión es «/wp‑content/plugins/wp‑automatic/inc/csv.php», cuyo nombre ha cambiado a algo así como «wp‑content/plugins/wp‑automatic/inc/csv65f82ab408b3.php».
Dicho esto, es posible que los actores de amenazas lo hagan en un intento de evitar que otros atacantes exploten los sitios que ya están bajo su control.
CVE-2024-27956 fue divulgado públicamente por la firma de seguridad de WordPress Patchstack el 13 de marzo de 2024. Desde entonces, se han detectado más de 5,5 millones de intentos de ataque para convertir la falla en un arma.
La divulgación se produce cuando se han revelado errores graves en complementos como Email Subscribers de Icegram Express (CVE-2024-2876puntuación CVSS: 9,8), Forminator (CVE-2024-28890puntuación CVSS: 9,8) y Registro de usuario (CVE-2024-2417puntuación CVSS: 8,8) que podría usarse para extraer datos confidenciales como hashes de contraseñas de la base de datos, cargar archivos arbitrarios y otorgar privilegios de administrador a un usuario autenticador.
Patchstack también tiene prevenido un problema sin parche en el complemento Poll Maker (CVE-2024-32514, puntuación CVSS: 9.9) que permite a atacantes autenticados, con acceso de nivel de suscriptor y superior, cargar archivos arbitrarios en el servidor del sitio afectado, lo que lleva a la ejecución remota de código.