Alertas Masivas de Ciberseguridad por Vulnerabilidad crítica de SQLi en WP-Automatic permite tomar control del servidor

  • 28/05/2024
  • 91
Alertas Masivas de Ciberseguridad por Vulnerabilidad crítica de SQLi en WP-Automatic permite tomar control del servidor

Riesgo: Crítico

Descripción
Delincuentes informáticos están atacando sitios web que utilizan el conocido complemento de WordPress Automatic. El ataque intenta explotar una vulnerabilidad de alta gravedad que permite una toma total del control de WordPress. La vulnerabilidad reside en WordPress Automatic, un complemento con más de 38.000 clientes de pago. Esta vulnerabilidad CRÍTICA de tipo inyección SQL (SQLi) en el complemento WP-Automatic está diseñada para inyectar puertas traseras y shells web en sitios web. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante remoto inyectar código en la base de datos del sitio y obtener privilegios de nivel de administrador.

Detalle:
Una vez que un sitio de WordPress se ve comprometido, los atacantes garantizan su persistencia y forma de acceso creando puertas traseras y ofuscando el código. Para evadir la detección y mantener el acceso, los atacantes también pueden cambiar el nombre del archivo vulnerable WPAutomatic, lo que dificulta que los propietarios de sitios web o las herramientas de seguridad identifiquen o bloqueen el problema.
Los investigadores han clasificado la falla, rastreada como CVE-2024-27956, como una inyección SQL, una clase de vulnerabilidad que surge de una falla de una aplicación web al consultar correctamente las bases de datos backend.

Los ataques exitosos suelen seguir este proceso:

Inyección SQL: los atacantes aprovechan la vulnerabilidad SQLi en el complemento WP Automatic para ejecutar consultas no autorizadas a bases de datos.

Creación de usuarios administradores: con la capacidad de ejecutar consultas SQL arbitrarias, los atacantes pueden crear nuevas cuentas de usuarios de nivel administrador dentro de WordPress.

Carga de malware: una vez que se crea una cuenta de nivel de administrador, los atacantes pueden cargar archivos maliciosos, generalmente shells web o puertas traseras, al servidor del sitio web comprometido.

Cambio de nombre de archivos: el atacante puede cambiar el nombre del archivo WP-Automatic vulnerable para asegurarse de que solo él pueda explotarlo.

 

Recursos Afectados:
WP Automatic, versiones anteriores a la 3.9.2.0.

Solución
Actualizar o instalar la versión 3.92.1 de WP Automatic que corrige esta vulnerabilidad (El desarrollador del complemento, ValvePress, publicó silenciosamente un parche, que está disponible en la versión 3.92.1.)
Instar a los propietarios de sitios web a tomar medidas inmediatas para proteger sus sitios de WordPress.

  • Los pasos clave de mitigación incluyen:
  • Actualizaciones de complementos: el complemento WP Automatic debe estar actualizado a la última versión.
  • Revisión de cuentas de usuario: revisar y auditar periódicamente las cuentas de usuarios dentro de WordPress, eliminando cualquier usuario administrador no autorizado o sospechoso.
  • Monitoreo de seguridad: emplear sólidas herramientas y servicios de monitoreo de seguridad como Jetpack Scan para detectar y responder a actividades maliciosas en su sitio web. Además, si utiliza Jetpack Scan y desea reforzar la seguridad de su sitio web, considere habilitar Enhance Protection. Al activar esta función, permite que el Firewall de aplicaciones web inspeccione las solicitudes dirigidas a archivos PHP independientes que podrían ser vulnerables. Esto significa que incluso si los atacantes intentan enviar solicitudes directamente a archivos PHP, nuestro WAF estará allí para inspeccionar y proteger su sitio web contra posibles amenazas.
  • Copia de seguridad y restauración: mantener copias de seguridad actualizadas de los datos de su sitio web para facilitar una restauración rápida en caso de que se vea comprometido.

 

Referencias
https://blog.segu-info.com.ar/2024/05/vulnerabilidad-critica-de-sqli-enwp. html?utm_source=SeguInfo&utm_medium=SeguInfo&utm_campaign=Segu-Info%20- %20Ciberseguridad%20desde%20el%202000&utm_content=Segu-Info%20- %20Ciberseguridad%20desde%20el%202000&lctg=258676679
https://cdn.www.gob.pe/uploads/document/file/6261021/5509751-alerta-integrada-de-seguridaddigital- 098-2024-cnsd.pdf