Vulnerabilidad Zero Day WordPress

Los atacantes están aprovechando una vulnerabilidad crítica en el complemento de WordPress conocido como “Royal Elementor Addons and Templates”. Esta explotación fue detectada antes de que el fabricante del complemento publicara una solución, lo que ha llevado a que los piratas informáticos la utilicen como un día cero, es decir, una vulnerabilidad que se aprovecha en el mismo día en que se descubre. Esta situación plantea un serio riesgo para los sitios web que utilizan este complemento.

Los complementos y plantillas de Royal Elementor de WP Royal son una colección de herramientas de creación de sitios web que permiten a los usuarios diseñar elementos web de manera sencilla, sin requerir conocimientos de programación. Según WordPress.org, el complemento cuenta con más de 200 mil instalaciones, lo que lo convierte en un objetivo atractivo para los ciberdelincuentes.

La vulnerabilidad en cuestión ha sido identificada y rastreada como CVE-2023-5360, con una puntuación de gravedad CVSS (Common Vulnerability Scoring System) de 9.8, lo que indica que se trata de una vulnerabilidad crítica. Esta vulnerabilidad permite que un atacante no autenticado realice cargas de archivos arbitrarios en los sitios vulnerables que utilizan el complemento. Es importante destacar que esta vulnerabilidad afecta a las versiones del complemento anteriores a la 1.3.78.

El método de explotación de esta vulnerabilidad radica en que, aunque el complemento incluye una verificación de extensión para limitar las descargas a tipos de archivos permitidos, un usuario no autenticado puede manipular la lista de archivos permitidos para eludir esta verificación. Esto abre la puerta a la ejecución remota de código (RCE), lo que significa que un atacante podría tomar el control completo del sitio web vulnerable. Sin embargo, los detalles técnicos adicionales sobre la vulnerabilidad se han omitido en este artículo para evitar su divulgación generalizada y la proliferación de ataques.

Dos empresas de seguridad especializadas en WordPress, Wordfence y WPScan (que pertenece a Automattic), han detectado que CVE-2023-5360 está siendo activamente explotado desde el 30 de agosto de 2023. Además, el número de ataques ha ido en aumento desde el 3 de octubre de ese año.

Wordfence, por ejemplo, ha informado que bloqueó más de 46,000 intentos de ataque dirigidos a sitios web que utilizan Royal Elementor durante el mes de septiembre. Por su parte, WPScan encontró 889 casos en los que los atacantes aprovecharon la vulnerabilidad para alojar 10 cargas útiles diferentes. La mayoría de estas cargas útiles son scripts en lenguaje PHP que intentan crear una cuenta de administrador de WordPress o establecer una puerta trasera en el sitio.

Es importante señalar que, según WordPress, la mayoría de los ataques parecen originarse desde solo dos direcciones IP, lo que sugiere que esta explotación específica de la vulnerabilidad podría atribuirse a un grupo reducido de actores de amenazas.

Ante esta situación, WP Royal ha respondido publicando la versión 1.3.79 de Royal Elementor Addons and Templates el 6 de octubre, la cual incluye una solución para la vulnerabilidad detectada. Se recomienda encarecidamente a todos los usuarios que utilicen este complemento que actualicen a esta versión lo antes posible. Sin embargo, es fundamental tener en cuenta que la actualización a la versión 1.3.79 no eliminará automáticamente los archivos maliciosos que puedan haber sido previamente cargados en los sitios vulnerables. Por lo tanto, se requerirá una limpieza minuciosa del sitio para garantizar que no queden rastros de actividades maliciosas.

En resumen, la explotación activa de la vulnerabilidad CVE-2023-5360 en el complemento de WordPress Royal Elementor Addons and Templates representa una seria amenaza para los sitios web que utilizan esta herramienta. Los administradores de sitios web deben tomar medidas inmediatas para actualizar el complemento a la versión 1.3.79 y llevar a cabo una revisión exhaustiva de sus sitios para eliminar posibles archivos maliciosos y prevenir futuros ataques. La seguridad en línea es un aspecto crítico en la protección de la integridad de los sitios web y la información de los usuarios.