Hackers explotan fallas críticas en plugins de WordPress; miles de sitios web vulnerables

Los desarrolladores de Thrive Themes anunciaron la corrección de algunas fallas en sus plugins para WordPress y temas heredados, señalando que algunos grupos de actores de amenazas podrían atacar algunas implementaciones sin actualizaciones. Cabe recordar que Thrive Themes es un conjunto de herramientas para sistemas de gestión de contenido (CMS).

Las dos fallas reportadas permitirían a los actores de amenazas no autenticados cargar archivos arbitrarios en los sitios web vulnerables, lo que pondría en riesgo toda la infraestructura comprometida. Los parches de seguridad para corregir estas fallas fueron emitidas el 12 de marzo.

A pesar de que las fallas ya han sido corregidas, los actores de amenazas han desplegado una ola de intentos de explotación que podría afectar hasta 100 mil sitios web en WordPress que siguen sin actualizar: “Hemos detectado múltiples intentos de explotación en escenarios reales, por lo que solicitamos a los usuarios actualizar a la más reciente versión disponible”, menciona Chloe Chamberland, especialista en ciberseguridad de Wordfence.

La vulnerabilidad más severa recibió un puntaje de 10/10 según el Common Vulnerability Scoring System (CVSS) y reside en Thrive Themes Legacy Themes, un conjunto de herramientas para comprimir imágenes automáticamente durante la carga, una funcionalidad implementada de forma insegura.

La segunda falla es menos severa y reside en los plugins de Thrive Themes. Esta falla existe debido a una implementación insegura de una función en Thrive Dashboard, que permite la integración con la herramienta de automatización en línea Zapier. Las fallas residen en las siguientes versiones de Thrive Themes:

  • Thrive Optimize, versiones anteriores a 1.4.13.3
  • Thrive Comments, versiones anteriores a 1.4.15.3
  • Thrive Headline Optimizer, versiones anteriores a 1.3.7.3
  • Thrive Themes Builder, versiones anteriores a 2.2.4
  • Thrive Leads v2.3.9.4
  • Thrive Ultimatum, versiones anteriores a 2.3.9.4
  • Thrive Quiz Builder, versiones anteriores a 2.3.9.4
  • Thrive Apprentice v2.3.9.4
  • Thrive Architect, versiones anteriores a 2.6.7.4
  • Thrive Dashboard, versiones anteriores a 2.3.9.3

Chamberland afirma que los hackers podrían encadenar estas dos vulnerabilidades para acceder a los sitios web afectados. No obstante, la especialista menciona que por el momento no es posible revelar detalles adicionales sobre los ataques, pues miles de administradores de sitios web siguen sin actualizar a versiones seguras de los plugins.

Por otra parte, un grupo de especialistas en ciberseguridad menciona que los atacantes están explotando la falla conocida como “Actualización de Opción No Autenticada” para cargar archivos arbitrarios y cargar archivos PHP maliciosos. “El resultado de la explotación encadenada de estas fallas permite a los actores de amenazas obtener un acceso de tipo backdoor a los sitios web vulnerables”, concluye la investigadora.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).