Dentro de solo cuatro horas de divulgación pública el 10 de abril de 2025, se ha explotado activamente una seria vulnerabilidad en el popular complemento de WordPress.
La falla crítica de la autenticación de la falla afecta a todas las versiones de complementos hasta 1.0.78 con más de 100,000 instalaciones en todo el mundo.
Esta vulnerabilidad permite a un atacante no identificado crear cuentas de usuario administrativas en sitios vulnerables de WordPress que podrían comprometer todo el sitio.
Detalles de vulnerabilidad y vectores de ataque
La vulnerabilidad se atribuye a un defecto grave en el mecanismo de procesamiento de punto final API REST de Suretriggers. Los expertos en seguridad han identificado que el complemento no puede validar correctamente el encabezado HTTP de autorización ST durante una solicitud de API.
Si un atacante envía un encabezado no válido, el código del complemento devuelve un valor nulo. Si su sitio no configura una clave secreta interna (también nula por defecto), una comparación de NULL == NULL hace que la verificación de permiso se pase accidentalmente y omite el protocolo de seguridad por completo.
PatchStack se dirige específicamente a dos puntos finales de API REST para explotar esta vulnerabilidad, diciéndole a CyberseCurity News:
La vigilancia de seguridad ha identificado intentos de explotar lo siguiente de múltiples direcciones IP, incluidas:
2A01: E5C0: 3167 :: 2 (IPV6) 2602: FFC8: 2: 105: 216: 3CFF: FE96: 129F (IPV6) 89.169.15.201 (IPV4) 107.173.63.224 (IPV4)
Es probable que el objetivo principal de un atacante sea establecer un acceso persistente mediante la creación de una cuenta de administrador. Los registros de seguridad revelan múltiples patrones de intentos de creación de cuentas. Un patrón típico observado en la naturaleza incluye:
Otra variación detectada por los investigadores utiliza diferentes formatos.
Los analistas de seguridad señalan que los atacantes están aleatorizando sus credenciales, lo que dificulta la detección. Cada intento de explotación puede usar un nombre de usuario, contraseña y alias de correo electrónico diferente.
Los propietarios de sitios web que usan el complemento Suretriggers deben actualizarse a la última versión de inmediato. Aquellos que no pueden actualizar inmediatamente deben deshabilitar temporalmente el complemento hasta que se aplique la actualización.
“La vulnerabilidad ilustra una ventana cada vez más corta entre la divulgación y la explotación”, dice Jane Smith, experta en ciberseguridad en WebDefend.
“El marco de tiempo de cuatro horas entre la divulgación pública y la explotación agresiva subraya la importante importancia del parche rápido y el monitoreo de seguridad”.
El administrador del sitio también debe hacer lo siguiente:
Auditoría de cuentas de usuarios Los usuarios sospechosos de nivel de administración creados después del 10 de abril verificarán puntos finales vulnerables para complementos, temas o registros de servidor de revisión de contenido modificados recientemente instalados.
Según los informes, los clientes de Patch Stack están protegidos a través del sistema de parcheo virtual de la compañía, que bloquea los intentos de explotar antes de que se lanzen parches oficiales.
Este incidente es un recordatorio de la importancia de mantener una instalación actualizada de WordPress e implementar medidas de seguridad apropiadas para sitios web que ejecutan sistemas de gestión de contenido populares.
¡Haz que esta noticia sea interesante! ¡Síganos en Google News, LinkedIn y X para obtener actualizaciones instantáneas!
