Clicky

5 millones de intentos de explotación de vulnerabilidad día cero en el plugin BackupBuddy de WordPress

BackupBuddy

BackupBuddy permite hacer una copia de seguridad de toda la instalación de WordPress

Una falla de día cero en un plugin de WordPress llamado BackupBuddy está siendo explotada activamente, según ha revelado la empresa de seguridad de WordPress, Wordfence.

"Esta vulnerabilidad hace posible que los usuarios no autenticados descarguen archivos arbitrarios del sitio afectado que pueden incluir información confidencial", dijo.

BackupBuddy permite a los usuarios hacer una copia de seguridad de toda su instalación de WordPress desde el tablero, incluidos los archivos de temas, páginas, publicaciones, widgets, usuarios y archivos multimedia, entre otros.

Se estima que el plugin tiene alrededor de 140.000 instalaciones activas, con la falla (CVE-2022-31474, puntaje CVSS: 7.5) que afecta a las versiones 8.5.8.0 a 8.7.4.1. Se abordó en la versión 8.7.5 lanzada el 2 de septiembre de 2022.

El problema tiene su raíz en la función llamada "Copia de directorio local" que está diseñada para almacenar una copia local de las copias de seguridad. Según Wordfence, la vulnerabilidad es el resultado de la implementación insegura, que permite que un actor de amenazas no autenticado descargue cualquier archivo arbitrario en el servidor.

Se han ocultado detalles adicionales sobre la falla a la luz del abuso activo en estado salvaje y su facilidad de explotación.

"Esta vulnerabilidad podría permitir que un atacante vea el contenido de cualquier archivo en su servidor que pueda ser leído por su instalación de WordPress", dijo el desarrollador del plugin, iThemes. "Esto podría incluir el archivo wp-config.php de WordPress y, según la configuración de su servidor, archivos confidenciales como /etc/passwd".

Wordfence señaló que la selección de CVE-2022-31474 comenzó el 26 de agosto de 2022 y que han bloqueado casi cinco millones de ataques en el período intermedio. La mayoría de las intrusiones han intentado leer los siguientes archivos:

• /etc/passwd
• /wp-config.php
• .my.cnf
• .accesshash

Se recomienda a los usuarios del plugin BackupBuddy que actualicen a la última versión. Si los usuarios determinan que pueden haber sido comprometidos, se recomienda restablecer la contraseña de la base de datos, cambiar las Salts de WordPress y rotar las claves API almacenadas en wp-config.php.

Jesus_Caceres