Ataque masivo detectado tras la vulnerabilidad del plugin Automatic para Wordpress
Introducción
Wordpress es, de una forma muy destacada, el líder en sistemas de gestión de contenidos, CMS (o por sus siglas en inglés, Content Management System). Sus cifras son deslumbrantes da soporte a más del 43% de los sitios web a nivel mundial con cerca de 500 millones de webs. Con este dominio del mercado, aumenta el interés de los atacantes en encontrar vulnerabilidades que permitan en el popular CMS. Habitual e históricamente, el core de Wordpress es relativamente seguro. Cuentan con un potente equipo de seguridad y buenas prácticas de ciclo de desarrollo.¿Cómo proceder entonces? La respuesta de los atacantes es mirar en el eslabón más débil de la plataforma en este caso su extensibilidad. Los plugins de Wordpress son componentes, que pueden ser desarrollados por terceros, para dar una determinada funcionalidad, una administración más sencilla, un newsletter out-of-the-box, una galería de imágenes con rotación, etc. Wordpress cuenta con nada menos que 70.000 plugins desarrollados y muchos usuarios finales los usan para aceleran el proceso de creación del sitio web que desean tener. A su vez, muchos plugins son tremendamente populares.
Existen más de 70.000 plugins para Wordpress que son ampliamente utilizados para agilizar la creación de sitios web.
¿Serán los procesos de desarrollo igual de seguros que los del sistema base de Wordpress? La respuesta es que depende de esos terceros, y como en toda familia, hay de todo. Esto atrae el interés de los atacantes que escanean los plugins en busca de su puerta de entrada al maná de Wordpress. En innumerables ocasiones se han descubierto ataques a dichos plugins, con este o este otro ejemplo reciente, con un impacto variable dependiendo de la popularidad de este.
En este artículo hablaremos sobre una vulnerabilidad reciente encontrada en marzo de 2024 en el plugin Automatic y que está siendo activamente explotada.
¿Como es el plugin Automatic? ¿Es popular?
El plugin para wordPress Automatic publica contenido de casi cualquier sitio web en WordPress de manera automática. Puede importar de sitios populares como Youtube y X (…Twitter) utilizando sus APIs o de casi cualquier sitio web, utilizando sus módulos de scraping. Incluso puede generar contenido utilizando OpenAI GPT.
Automatic, es un plugin desarrollado por ValvePress con más de 38.000 clientes de pago. Investigadores de la firma de seguridad Patchstack revelaron el mes pasado que las versiones 3.92.0 y anteriores del plugin tenían una vulnerabilidad con una calificación de gravedad de 9,9 sobre un posible 10.
El desarrollador del plugin, ValvePress, publicó un parche, que está disponible en las versiones 3.92.1 y posteriores y que lógicamente debe ser instalado inmediatamente por cualquiera que use este plugin.
La publicación de la versión parcheada, sin embargo, no menciona de forma expresa la solución de la vulnerabilidad por lo que podríamos hablar de un parche silencioso. Esto no se considera una buena práctica porque no refleja la criticidad de hacer el upgrade hacia los usuarios finales.
¿Qué vulnerabilidad se ha encontrado?
La vulnerabilidad ( CVE-2024-27956 ) es una inyección SQL que podría permitir a atacantes no autenticados crear cuentas de administrador y tomar control de un sitio de WordPress.Esta clase de vulnerabilidades proviene de un fallo de una aplicación web para consultar adecuadamente las bases de datos.
La sintaxis SQL utiliza apóstrofes para indicar el comienzo y el final de una cadena de datos. Al introducir cadenas con apóstrofes especialmente posicionados en campos vulnerables del sitio web, los atacantes pueden ejecutar sentencias SQL especialmente manipuladas que realicen varias acciones sensibles: devolver datos confidenciales, otorgar privilegios administrativos del sistema o de forma más general abusar del funcionamiento de la aplicación web.
Para un atacante el panorama no puede ser mejor. Hablamos de un acceso no autenticado, es decir, no se necesita tener acceso a credenciales de usuarios del sitio web Wordpress víctima, ni administrador ni siquiera creador de contenido y permite crear cuentas de administración, es decir, hacerse superusuario del sitio web.
Esta vulnerabilidad en Wordpress permite crear cuentas de administrador y obtener control total del sitio web sin ser usuario ni administrador previo.
¿Está tratando de ser explotada activamente?
La firma de seguridad especializada en Wordpress WPScan publicó un post sobre la explotación de esta vulnerabilidad, donde reveló que ha registrado más de 5 millones de intentos de explotar la vulnerabilidad desde su divulgación
El proceso de explotación resumido sería el siguiente:
- Inyección SQL: Los atacantes aprovechan la vulnerabilidad SQLi en el plugin para ejecutar consultas de base de datos no autorizadas.
- Creación de Usuario administrador: Con la capacidad de ejecutar consultas SQL arbitrarias, los atacantes pueden crear nuevas cuentas de usuario de nivel administrador dentro de WordPress.
- Subida de malware: Una vez creada una cuenta de nivel administrador, los atacantes pueden subir archivos maliciosos para alojar malware que más tarde descargarán las víctimas, y también típicamente shells o puertas traseras para mantener el acceso.
Una vez que un sitio de WordPress está comprometido los atacantes suelen renombrar los archivos vulnerables por dos motivos principales:
- Para evadir la detección y mantener el acceso, es decir, buscando la persistencia en los sistemas y dificultando que los propietarios de sitios web o herramientas de seguridad identifiquen o bloqueen el problema.
- También puede ser una forma en que los atacantes encuentran para evitar que otros actores maliciosos exploten con éxito sus sitios ya comprometidos, un poco egoístas estos atacantes ¿verdad?
Mitigaciones
En vista de la criticidad de esta amenaza, los propietarios de sitios web deben tomar medidas inmediatas para proteger sus sitios de WordPress.
- Actualizaciones de plugins: Asegurar de que el plugin Automatic esté actualizado a la última versión.
- Revisión de Cuentas de Usuario: Revisar y auditar las cuentas de usuario dentro de WordPress, eliminando cualquier usuario administrador no autorizado o sospechoso.
- Monitoreo de Seguridad: Emplear herramientas y servicios robustos de monitoreo de seguridad como para detectar y responder a la actividad maliciosa en su sitio web.
Ante cualquier indicio de sospecha o incluso sin haberlo si como propietario de un sitio web usas WordPress con el plugin de Automatic deberías hacer una revisión de los indicadores de compromiso compartidos en el artículo de WPScan
Conclusiones
La posición de mercado de Wordpress para la creación de sitios web continuará atrayendo la atención de ciberdelincuentes, en la actualidad y a futuro, por lo que estos ataques seguirán ocurriendo frecuentemente.
Si eres un usuario propietario de un sitio web gestionado con Wordpress aquí van algunas recomendaciones de seguridad básicas:
- Reflexionar, en primer lugar, sobre la necesidad de instalar plugins, analizando con detenmiento el equilibrio entre la capacidad de mantener dichos plugins actualizados, algo crucial a nivel seguridad, versus la facilidad de uo o la funcionalidad que proporcionan.
- Solamente instalar plugins activamente mantenidos y revisar su uso de forma periódica para eliminar aquellos que no son necesarios.
- Dependiendo de la criticidad del sitio web y los datos que alberga evaluar la necesidad de instalar herramientas especializadas de monitorización continua de seguridad en la nube como ofrecen varios fabricantes de productos de seguridad especializados en Wordpress.
Wordpress es probablemente una de las mejores y accesibles alternativas para la creación y gestión de sitios web, pero hay que cuidar su seguridad como cualquier otro sistema accesible desde la web.