Clicky

Bajo explotación activa nueva falla en el plugin de WordPress utilizado por más de un millón de sitios

plugin Elementor de WordPress

Nueva ola de ataques dirigidos a sitios de WordPress desde finales de marzo de 2023

Se ha revelado una vulnerabilidad de seguridad en el popular complemento de WordPress Essential Addons for Elementor que potencialmente podría explotarse para lograr privilegios elevados en los sitios afectados.

El problema, rastreado como CVE-2023-32243, ha sido abordado por los mantenedores del plugin en la versión 5.7.2 que se envió el 11 de mayo de 2023. Essential Addons for Elementor tiene más de un millón de instalaciones activas.

"Este plugin sufre una vulnerabilidad de escalada de privilegios no autenticados y permite que cualquier usuario no autenticado aumente sus privilegios a los de cualquier usuario en el sitio de WordPress", dijo Rafie Muhammad, investigador de Patchstack.

La explotación exitosa de la falla podría permitir que un actor de amenazas restablezca la contraseña de cualquier usuario arbitrario, siempre que la parte malintencionada conozca su nombre de usuario. Se cree que la deficiencia existe desde la versión 5.4.0.

Esto puede tener serias ramificaciones, ya que la falla podría convertirse en un arma para restablecer la contraseña asociada con una cuenta de administrador y tomar el control total del sitio web.

"Esta vulnerabilidad ocurre porque esta función de restablecimiento de contraseña no valida una clave de restablecimiento de contraseña y, en cambio, cambia directamente la contraseña del usuario dado", señaló Muhammad.

La divulgación se produce más de un año después de que Patchstack revelara otra grave falla en el mismo plugin que podría haber sido objeto de abuso para ejecutar código arbitrario en sitios web comprometidos.

Los hallazgos también siguen al descubrimiento de una nueva ola de ataques dirigidos a sitios de WordPress desde finales de marzo de 2023 que tiene como objetivo inyectar el infame malware SocGholish (también conocido como FakeUpdates).

SocGholish es un framework de malware de JavaScript persistente que funciona como un proveedor de acceso inicial para facilitar la entrega de malware adicional a los hosts infectados. El malware se ha distribuido a través de descargas ocultas que se hacen pasar por una actualización del navegador web.

Se descubrió que la última campaña detectada por Sucuri aprovecha las técnicas de compresión utilizando una biblioteca de software llamada zlib para ocultar el malware, reducir su huella y evitar la detección.

"Los malos actores están continuamente desarrollando sus tácticas, técnicas y procedimientos para evadir la detección y prolongar la vida de sus campañas de malware", dijo el investigador de Sucuri, Denis Sinegubko.

"El malware SocGholish es un excelente ejemplo de esto, ya que los atacantes han alterado su enfoque en el pasado para inyectar scripts maliciosos en sitios web de WordPress comprometidos".

No es solo SocGholish. Malwarebytes, en un informe técnico de esta semana, detalló una campaña de publicidad maliciosa que sirve a los visitantes de sitios web para adultos con anuncios emergentes que simulan una actualización falsa de Windows para eliminar el cargador "in2al5d p3in4er" (también conocido como Invalid Printer).

SocGholish

"El esquema está muy bien diseñado ya que se basa en el navegador web para mostrar una animación de pantalla completa que se parece mucho a lo que esperarías de Microsoft", dijo Jérôme Segura, director de inteligencia de amenazas de Malwarebytes.

El cargador, que fue documentado por Morphisec el mes pasado, está diseñado para verificar la tarjeta gráfica del sistema para determinar si se está ejecutando en una máquina virtual o en un entorno de espacio aislado y, en última instancia, lanzar el malware de robo de información Aurora.

La campaña, según Malwarebytes, se ha cobrado 585 víctimas en los últimos dos meses, y el actor de amenazas también está vinculado a otras estafas de soporte técnico y un panel de comando y control del bot Amadey.

La falla del plugin Essential Addons for Elementor explotada activamente

Wordfence, en su propio aviso, dijo que la vulnerabilidad crítica en el plugin Essential Addons for Elementor se está explotando activamente en la naturaleza, y que en las últimas 24 horas bloqueó 200 ataques dirigidos a la falla, por lo que es imperativo que los usuarios se actualicen rápidamente a la última versión.

Jesus_Caceres