Los cibercriminales están explotando activamente dos vulnerabilidades de seguridad en los plugins de WordPress: Elementor Pro y Elementor Ultimate. Esta vulnerabilidad tiene el objetivo final de ejecutar de forma remota código arbitrario y comprometer completamente los sitios web sin parchear.
El 6 de mayo surgieron informes sobre ciberdelincuentes que intentaban abusar de los dos errores en ataques en curso, según lo informado el equipo de Inteligencia de amenazas de Wordfence en un post de su blog.
Elementor Pro es un plugin de pago con un número estimado de más de 1 millón de instalaciones activas que ayuda a los usuarios a crear fácilmente y de manera vistual sitios web de WordPress desde cero con la ayuda de un generador de temas incorporado, un diseñador de widgets y soporte personalizado de CSS.
La vulnerabilidad presente en Elementor Pro es un error de ejecución remota de código calificado como crítico que permite a los atacantes con acceso de usuario registrado cargar archivos arbitrarios en los sitios web de destino y ejecutar código de forma remota; cuando comenzaron los ataques, era una vulnerabilidad de día cero.
Los atacantes que explotan con éxito esta falla de seguridad pueden instalar puertas traseras para mantener el acceso a los sitios comprometidos, obtener acceso de administrador completo para comprometerlo por completo o incluso borrar todo el sitio.
Si no pueden registrarse como usuarios, pueden explotar una segunda vulnerabilidad que afecta a el plugin Elementor Ultimate de WordPress (instalado en más de 110,000 sitios) que les permitirá registrarse como usuarios con nivel de acceso de suscriptor en cualquier sitio que ejecute el plugin, incluso si website tiene el registro de usuarios inhabilitado.
Para defenderse de estos ataques que actualmente están en curso, debe actualizar Elementor Pro a la versión 2.9.4 que corrige la vulnerabilidad de ejecución remota de código.
Los usuarios de Ultimate Addons para Elementor deberán actualizarlo a la versión 1.24.2 o posterior.
Wordfence recomienda además tomar las siguientes medidas para asegurarse de que su sitio no haya sido comprometido:
- Verifique si hay usuarios desconocidos a nivel de suscriptor en su sitio. Esto puede indicar que su sitio se ha visto comprometido como parte de esta campaña activa. Si es así, elimine esas cuentas.
- Verifique los archivos llamados “wp-xmlrpc.php“. Estos pueden considerarse una indicación de compromiso, así que revise su sitio para ver la evidencia de este archivo.
- Elimine los archivos o carpetas desconocidos que se encuentran en el directorio /wp-content/uploads/elementor/custom-icons/. Los archivos ubicados aquí después de que se haya creado una cuenta falsa de nivel de suscriptor son una clara indicación de compromiso.
Los ciberdelincuentes que están detrás de estos ataques usaron al menos 24,000 direcciones IP para enviar solicitudes maliciosas a más de 900,000 sitios web vulnerables, con más de 20 millones de ataques lanzados contra más de medio millón de sitios desde el 3 de mayo.