Una campaña de explotación masiva está atacando sitios WordPress que utilizan los plugins vulnerables GutenKit y Hunk Companion . En solo dos días (8 y 9 de octubre), el proveedor de seguridad Wordfence bloqueó 8,7 millones de intentos de ataque, lo que subraya la escalada crítica de la amenaza.
Explotación Crítica: RCE por Plugins Desactualizados
Los atacantes explotan tres vulnerabilidades críticas (CVSS$approx$9.8), aprovechando endpoints sin autenticación para instalar malware con control total.
Mecanismo de Explotación
- GutenKit (CVE‑2024‑9234): Este complemento (versión 2.1.0 y anteriores) tiene un endpoint REST no autenticado que permite a cualquier atacante instalar complementos arbitrarios (incluido malware en formato .zip) sin necesidad de credenciales.
- Hunk Companion (CVE‑2024‑9707 / CVE‑2024‑11972): Este complemento (versión 1.8.5 y anteriores) permite importar temas o archivos sin autorización, lo que también se utiliza para inyectar código o complementos maliciosos.
Consecuencias directas
Los atacantes suben un plugin malicioso (ej., up.zip) que contiene scripts ofuscados para:
- Subir, descargar o borrar archivos.
- Cambiar permisos o crear cuentas de administrador ocultas.
- Instalar el complemento vulnerable wp-query-consolepara asegurar la Ejecución Remota de Código (RCE) cuando el backdoor directo falla.
El Problema del Mantenimiento: La escalada de la explotación se debe a la falta de mantenimiento, ya que los parches para estos complementos han estado disponibles desde octubre y diciembre de 2024.
Recomendaciones
- Actualización y Eliminación (Crítico)
- Actualizar Inmediatamente:
- Kit de buenos hábitos $rightarrow$Versión 2.1.1 o superior.
- Compañero galán $rightarrow$Versión 1.9.0 o superior.
- Limpieza: Eliminar o desactivar complementos que ya no se usan.
- Credenciales: Cambiar contraseñas de administrador de WordPress y activar la Autenticación Multifactor (MFA) para todas las cuentas críticas.
- Detección depuertas traseras(TTP)
- Revisar Endpoints en Logs: Buscar en los logs del servidor accesos a los endpoints vulnerables como:
- /wp-json/gutenkit/v1/install-active-plugin
- /wp-json/hc/v1/themehunk-import
- Carpetas Maliciosas: Revisar la existencia de carpetas inusuales creadas por el malware, como, o, y /upeliminar el contenido desconocido. /background-image-cropper/ultra-seo-processor-wp/oke/wp-query-console
- Firewall: Instalar un firewall de aplicación web (WAF) especializado para WordPress que filtre peticiones anómalas dirigidas a endpoints REST.
- Endurecimiento continuo
- Inventario: Las organizaciones con múltiples sitios WordPress deben inventariar y verificar la versión de los complementos en todos sus entornos (incluidos sitios antiguos o subdominios).
- Respaldo: Realizar copias de seguridad frecuentes y almacenar copias de seguridad fuera del servidor web para permitir una restauración rápida y limpia en caso de compromiso.
- Educación: Educar a los equipos de operaciones web sobre la importancia de mantener los plugins actualizados y sobre el riesgo específico de los endpoints REST vulnerables.
