En una palabra: Muchos complementos de WordPress están diseñados para mejorar la capacidad del sistema de gestión de contenidos para compartir contenido de forma rápida y sencilla desde casi cualquier lugar de Internet. Pero un complemento popular en particular aparentemente también les hace la vida más fácil a los ciberdelincuentes.
El complemento WP Automatic se ha visto comprometido por una grave vulnerabilidad de seguridad que los piratas informáticos han estado explotando desde el mes pasado. Este complemento tiene más de 38.000 clientes pagos, lo que permite a los sitios de WordPress agregar sin esfuerzo nuevas publicaciones de diversas fuentes, como canales RSS, YouTube, Twitter o generando contenido a través de ChatGPT.
Seguimiento como CVE-2024-27956, la falla fue revelado por la empresa de seguridad Patchstack en marzo y recibió una calificación de gravedad de 9,9 (sobre 10). Se describe como una vulnerabilidad de inyección SQL altamente peligrosa y los analistas anticipan una explotación generalizada después de que los piratas informáticos se dieron cuenta de ella. Según Patchstack, los actores maliciosos pueden «interactuar directamente» con la base de datos SQL de un sitio de WordPress, manipulando potencialmente información personal, cuentas de usuario y más.
ValvePress, el editor de WP Automatic, abordó la falla de inyección SQL en la última versión del complemento (3.92.1) sin reconocer el problema solucionado en las notas de la versión. No obstante, los piratas informáticos descubrieron rápidamente CVE-2024-27956; a boletín reciente La empresa de seguridad WPScan dijo que el error había sido objeto de más de 5,5 millones de intentos de ataque desde el 13 de marzo de 2024.
WPScan describe el proceso de explotación típico de CVE-2024-27956, que comienza con la ejecución de una consulta de base de datos no autorizada y finaliza con la propiedad total del sitio web comprometido. Una vez dentro, los piratas informáticos pueden crear nuevas cuentas de usuario administrador, cargar nuevo malware y complementos, y más. Los delincuentes también pueden cambiar el nombre del script PHP WAP vulnerable, asegurando que ninguna otra «pandilla cibernética» pueda explotar la falla.
Una vez que un sitio de WordPress se ve comprometido, un atacante puede crear puertas traseras y ocultar su código malicioso. En la mayoría de los sitios comprometidos descubiertos por WPScan, los ciberdelincuentes instalaron sus propios complementos para cargar archivos y editar código fácilmente. CVE-2024-27956 representa un riesgo de seguridad extremadamente grave, y se insta a todos los clientes de WP Automatic a actualizar a la última versión del complemento de inmediato, aunque algunos investigadores cuestionan si califica como un «verdadero» problema de inyección SQL.
Un desarrollador anónimo tiene anotado que el complemento WP Automatic está diseñado para procesar consultas SQL de usuarios autorizados únicamente. CVE-2024-27956 permite a los piratas informáticos eludir estos controles de autorización, mientras que se produce una inyección SQL cuando un atacante inserta código SQL en lo que «se supone que son sólo datos», lo que, según el desarrollador, no es el caso con WAP.