Investigadores de Wordfence detectaron casi 8,8 millones de intentos de ataque en 48 horas contra sitios que usan versiones vulnerables. Las fallas permiten instalar plugins arbitrarios y facilitan ejecución remota de código (RCE).
La firma de seguridad Wordfence alertó recientemente sobre una campaña de explotación a gran escala dirigida a sitios WordPress que aún ejecutan versiones antiguas y vulnerables de los plugins GutenKit y Hunk Companion. De acuerdo a los investigadores, entre el 8 y 9 de octubre fueron bloqueados unos 8,8 millones de intentos de ataque contra clientes, lo que evidencia el alcance y la intensidad de la operación.
Los ataques se aprovechan de tres fallas críticas identificadas como CVE-2024-9234, CVE-2024-9707 y CVE-2024-11972, todas con puntuación CVSS de 9.8. CVE-2024-9234 es un fallo en un endpoint REST no autenticado del plugin GutenKit (hasta la versión 2.1.0) que permite instalar plugins arbitrarios sin credenciales. Las otras dos vulnerabilidades afectan el endpoint themehunk-import del plugin Hunk Companion (versiones 1.8.4 y anteriores para CVE-2024-9707; 1.8.5 y previas para CVE-2024-11972) y permiten, igualmente, la instalación/activación no autorizada de plugins que pueden servir como puente para lograr remote code execution (RCE).
Wordfence explicó que descubrió las fallas a través de su programa de recompensas por bugs el 25 de septiembre y el 3 de octubre de 2024, y que, aunque los parches fueron publicados (GutenKit 2.1.1 en octubre 2024 y Hunk Companion 1.9.0 en diciembre 2024), “mucha gente aún utiliza versiones vulnerables”. Esa persistencia ha facilitado que actores maliciosos publiquen en GitHub un paquete .ZIP malicioso llamado up, que contiene scripts ofuscados para subir, bajar y eliminar archivos, cambiar permisos y desplegar backdoors.
Cuando la instalación directa de una puerta trasera de administrador no es posible, los atacantes recurren a introducir plugins vulnerables como wp-query-console, que pueden ser abusados para lograr RCE sin autenticación. Wordfence también compartió una lista de direcciones IP y dominios asociados con la campaña para que los defensores puedan crear reglas de bloqueo.
Como indicadores de compromiso (IoC), los investigadores recomiendan revisar los registros de acceso en busca de peticiones a /wp-json/gutenkit/v1/install-active-plugin y /wp-json/hc/v1/themehunk-import, y comprobar la presencia de directorios o archivos maliciosos como /up, /background-image-cropper, /ultra-seo-processor-wp, /oke y /wp-query-console.
Para los administradores, las principales recomendaciones entregadas son actualizar inmediatamente GutenKit y Hunk Companion a sus versiones corregidas, auditar instalaciones en busca de archivos y plugins no autorizados, eliminar cualquier backdoor detectado y aplicar reglas de firewall y listas de bloqueo con las IPs proporcionadas por Wordfence.