Vulnerabilidad en Tatsu Builder permite ataques contra millones de sitios web de WordPress

Investigadores de Wordfence Threat Intelligence han identificado una campaña de ataque a gran escala basada en la explotación de una vulnerabilidad de ejecución remota de código (RCE) en las versiones gratuitas y Premium de Tatsu Builder, un plugin no disponible en el repositorio de WordPress y que podría estar instalado en hasta 50,000 sitios web.

Identificada como CVE-2021-25094, la vulnerabilidad reside en todas las versiones anteriores a v3.3.13 y recibió una puntuación de 8.1/10 según el Common Vulnerability Scoring System (CVSS). El reporte fue atribuido al investigador Vincent Michel, también conocido como darkpills.

Los primeros reportes de ataque fueron presentados apenas hace una semana, y desde entonces se han acumulado casi 6 millones de ataques contra más de 1.4 millones de sitios; si bien el volumen de ataques ha disminuido durante el último par de días, se ha mantenido la actividad maliciosa.

El gráfico a continuación muestra el número total de sitios web con que los actores de amenazas están tratando de explotar la falla en Tatsu Builder.

La mayoría de los ataques identificados parecen tener como objetivo determinar la presencia del plugin vulnerable. Estos pueden aparecer en los registros con la siguiente cadena de consulta:

/wp-admin/admin-ajax.php?action=add_custom_font

La gran mayoría de los ataques están vinculados con tres direcciones IP:

148.251.183.254

176.9.117.218

217.160.145.62

Como se menciona, los ataques tienen como objetivo determinar si los sitios web afectados tienen el plugin vulnerable, por lo que es necesario matizar que los más de 1.4 millones de ataques confirmados no representan el nivel de explotación exitosa de la vulnerabilidad.

Los desarrolladores de Tatsu Builder lanzaron la versión 3.3.13, que incluye una corrección para la vulnerabilidad RCE. A inicios de abril, la firma envió una notificación urgente vía email a todos sus clientes para solicitarles actualizar a la más reciente versión disponible para prevenir cualquier intento de explotación.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).