Una campaña de explotación generalizada está dirigida a sitios web de WordPress con complementos GutenKit y Hunk Companion vulnerables a viejos problemas de seguridad de gravedad crítica que pueden usarse para lograr la ejecución remota de código (RCE).
Empresa de seguridad de WordPress Wordfence dice que bloqueó 8,7 millones de intentos de ataque contra sus clientes en sólo dos días, el 8 y 9 de octubre.
La campaña expone tres fallas, rastreadas como CVE-2024-9234, CVE-2024-9707 y CVE-2024-11972, todas calificadas como críticas (CVSS 9.8).
CVE-2024-9234 es una falla de punto final REST no autenticado en el complemento GutenKit con 40,000 instalaciones que permite instalar complementos arbitrarios sin autenticación.
CVE-2024-9707 y CVE-2024-11972 Hay vulnerabilidades de autorización faltante en el punto final REST themehunk-import del complemento Hunk Companion (8000 instalaciones) que también pueden conducir a la instalación de complementos arbitrarios.
Un atacante autenticado puede aprovechar las vulnerabilidades para introducir otro complemento vulnerable que permita la ejecución remota de código.
- CVE-2024-9234 afecta a GutenKit 2.1.0 y versiones anteriores
- CVE-2024-9707 afecta a Hunk Companion 1.8.4 y versiones anteriores
- CVE-2024-11972 afecta a Hunk Companion 1.8.5 y versiones anteriores
Las correcciones para las tres vulnerabilidades estuvieron disponibles en Gutenkit 2.1.1, lanzado en octubre de 2024, y Hunk Companion 1.9.0, lanzado en diciembre de 2024. Sin embargo, a pesar de que el proveedor las solucionó hace casi un año, muchos sitios web continúan usando versiones vulnerables.
Fuente: Wordfence
Las observaciones de Wordfence basadas en los datos del ataque indican que los investigadores dicen que los actores de amenazas alojan en GitHub un complemento malicioso en un archivo .ZIP llamado «up».
El archivo contiene scripts ofuscados que permiten cargar, descargar y eliminar archivos, y cambiar permisos. Uno de los scripts protegido con contraseña, disfrazado de componente del complemento All in One SEO, se utiliza para iniciar sesión automáticamente como administrador.
Los atacantes utilizan estas herramientas para mantener la persistencia, robar o soltar archivos, ejecutar comandos o rastrear datos privados manejados por el sitio.
Cuando los atacantes no pueden acceder directamente a una puerta trasera de administración completa a través del paquete instalado, a menudo instalan el complemento vulnerable 'wp-query-console' que puede aprovecharse para RCE no autenticado.
Wordfence ha enumerado varias direcciones IP que generan grandes volúmenes de estas solicitudes maliciosas, lo que puede ayudar a crear defensas contra estos ataques.
Como indicador de compromiso, los investigadores dicen que los administradores deberían buscar /wp-json/gutenkit/v1/instalar-complemento-activo y /wp-json/hc/v1/themehunk-importación solicitudes en los registros de acceso al sitio.
También deberían consultar los directorios. /arriba, /recortador-de-imagen-de-fondo, /procesador-ultra-seo-wp, /okey /wp-consola-de-consultaspara cualquier entrada deshonesta.
Se recomienda a los administradores mantener todos los complementos de sus sitios web actualizados a la última versión disponible del proveedor.
El 46% de los entornos tenían contraseñas descifradas, casi el doble que el 25% del año pasado.
Obtenga ahora el Informe Picus Blue 2025 para obtener una visión completa de más hallazgos sobre tendencias de prevención, detección y filtración de datos.
