Una vulnerabilidad de alta severidad comprometió el plugin Elementor Pro, ampliamente utilizado en sitios empresariales de WordPress, afectando a más de 11 millones de sitios web. Se lanzó un parche de seguridad a finales de marzo de 2023 y se recomienda actualizar al menos a la versión 3.11.7 para mitigar las vulnerabilidades asociadas.
WordPress es una plataforma de gestión de contenido que permite a los usuarios crear y administrar sitios web de manera fácil y accesible. Es ampliamente utilizada por empresas de todos los tamaños debido a su facilidad de uso, flexibilidad y personalización. Cada vez son mayores los números de sitios web de todos los sectores que utilizan WordPress para webs. Para ser más precisos, el 42.9% de todos los sitios web en Internet.
Además de tener un gran incremento en su uso a nivel global, al hablar de páginas con CMS, es el gran elegido y los datos lo confirman, más del 64.1% de páginas que usan el sistema de gestión de contenidos, son construidas en WP.
Por otra parte, uno de los plugins más populares de WordPress, Elementor Pro, utilizado por más de once millones de sitios web, es afectado por una vulnerabilidad de alta gravedad que los hackers han explotado activamente. Elementor Pro es un plugin que permite a los usuarios crear diseños personalizados para su sitio web utilizando un constructor de páginas visual. Proporciona herramientas para crear y personalizar diseños de páginas, agregar widgets, crear formularios, agregar animaciones y efectos visuales, y más.
Esta vulnerabilidad fue descubierta por el investigador de NinTechNet Jerome Bruandet el 18 de marzo de 2023, quien compartió detalles técnicos sobre cómo se puede explotar el fallo cuando se instala junto a WooCommerce. El problema, que afecta a la versión 3.11.6 y a todas las versiones anteriores, permite a los usuarios autenticados, como clientes de la tienda o miembros del sitio, cambiar la configuración del sitio e incluso realizar una toma de control completa del sitio.
El investigador explicó que el fallo tiene que ver con un control de acceso roto en el módulo WooCommerce del plugin («elementor-pro/modules/woocommerce/module.php»), lo que permite a cualquiera modificar las opciones de WordPress en la base de datos sin la validación adecuada. El fallo se explota a través de una acción AJAX vulnerable, «pro_woocommerce_update_page_option», que adolece de una validación de entrada mal implementada y de falta de comprobaciones de capacidad.
En su informe técnico, Bruandet indica que un atacante autenticado puede aprovechar la vulnerabilidad para crear una cuenta de administrador habilitando el registro y configurando el rol por defecto como «administrador», cambiar la dirección de correo electrónico del administrador o redirigir todo el tráfico a un sitio web malicioso externo cambiando la URL del sitio.
Es importante tener en cuenta que para que el fallo en particular pueda ser explotado, el plugin WooCommerce también debe estar instalado en el sitio, lo que activa el módulo vulnerable correspondiente en Elementor Pro.
Los hackers han explotado activamente el fallo del plugin Elementor
La empresa de seguridad de WordPress PatchStack informa ahora que los hackers están explotando activamente esta vulnerabilidad del plugin Elementor Pro para redirigir a los visitantes a dominios maliciosos («away[.]trackersline[.]com») o cargar puertas traseras en el sitio vulnerado. PatchStack dice que las puertas traseras cargadas en estos ataques se llaman
- Wp-resortpark.zip
- Wp-rate.php
- lll.zip
Aunque no se han proporcionado muchos detalles sobre estas puertas traseras, la entidad de ciberseguridad BleepingComputer encontró una muestra del archivo lll.zip, que contiene un script PHP que permite a un atacante remoto subir archivos adicionales al servidor comprometido. Esta puerta trasera permitiría al atacante obtener acceso completo al sitio de WordPress, ya sea para robar datos o instalar código malicioso adicional.
Utilizando la vulnerabilidad en el plugin Elementor Pro, los hackers redirigen a los visitantes a dominios maliciosos o suben puertas traseras al sitio web comprometido.
Direcciones IP ha de ser bloqueadas
PatchStack afirma que la mayoría de los ataques dirigidos a sitios web vulnerables se originan en las tres direcciones IP siguientes, por lo que se sugiere añadirlas a una lista de bloqueo:
- 193.169.194.63
- 193.169.195.64
- 194.135.30.6
Si su sitio utiliza Elementor Pro, es imperativo añadir estas direcciones IP a una lista de bloqueo para ayudar a prevenir ataques dirigidos a sus sitios web vulnerables.
La semana pasada, WordPress forzó la actualización del plugin WooCommerce Payments para tiendas online con el fin de solucionar una vulnerabilidad crítica que permitía a atacantes no autenticados obtener acceso de administrador a sitios vulnerables.
¿Qué hago si mi sitio web ha sido hackeado debido a esta vulnerabilidad?
Restaurar una copia de seguridad limpia de su sitio web, si usted tiene un plan de alojamiento Elementor, esta guía puede ayudar de lo contrario, su proveedor de alojamiento puede ayudar con esto si es necesario. Una vez que haya restaurado su copia de seguridad limpia, actualice a la última versión de Elementor Pro.
Recomendaciones para mitigación de posibles vulnerabilidades
El 22 de marzo de 2023 se publicó un parche de seguridad para el popular plugin de creación de sitios web Elementor Pro. Los administradores de sitios web que utilicen este plugin deben actualizar inmediatamente al menos a la versión 3.11.7 para evitar un posible compromiso del sitio web.
Esto es un gran recordatorio de por qué la emisión de actualizaciones de software tan pronto como sea posible es crucial para la seguridad del sitio web y la prevención de ataques, y también que los administradores de sitios web que emplean actualizaciones automáticas/parches tienen menos riesgo de estar comprometidos frente a eventuales amenazas.
Referencia:
https://thehackernews.com/2023/04/hackers-exploiting-wordpress-elementor.html
