Los piratas informáticos están explotando activamente una vulnerabilidad crítica del complemento de WordPress que les permite borrar por completo todas las bases de datos del sitio web y, en algunos casos, tomar el control total de los sitios afectados.
La falla está en el ThemeGrill Demo Importer instalado en unos 100,000 sitios, y fue revelado durante el fin de semana por la compañía de seguridad de sitios web WebARX. Para el martes, WebArx informó que la falla estaba bajo explotación activa con casi 17,000 ataques bloqueados hasta el momento. Hanno Böck, un periodista que trabaja para Golem.de, también detectó ataques activos y los reportaron en Twitter.
Si usa este complemento y su página web aún no se ha eliminado, considérese afortunado. Y elimina el complemento. (Sí, elimínelo, no solo actualice).
– hanno (@hanno) 18 de febrero de 2023
«Actualmente hay una vulnerabilidad grave en un complemento de wordpress llamado» importador de demostración de temagrill «que restablece toda la base de datos», escribió Böck. «https://webarxsecurity.com/critical-issue-in-themegrill-demo-importer/ Parece que están comenzando los ataques: algunas de las páginas web afectadas muestran una publicación de wordpress ‘hello world’. /cc Si usa este complemento y su página web aún no se ha eliminado, considérese afortunado. Y elimine el complemento. (Sí, elimínelo, no solo actualice)».
hola mundo cruel
El mensaje «Hello World» es el marcador de posición predeterminado que se muestra en los sitios de WordPress cuando el sistema de administración de contenido de código abierto se instala por primera vez o cuando se limpia. Böck me dijo que los atacantes parecen estar explotando la vulnerabilidad de ThemeGrill con la esperanza de obtener el control administrativo de los sitios web afectados. Las adquisiciones de sitios web solo ocurren cuando un sitio vulnerable tiene una cuenta con el nombre «admin». En esos casos, después de que los piratas informáticos exploten la vulnerabilidad y borren todos los datos, inician sesión automáticamente como un usuario que tiene derechos administrativos.
«La cuestión es que, en la mayoría de los casos, obtienes ‘solo’ un restablecimiento de la base de datos, es decir, eso no es realmente útil para un atacante, pero si existe un usuario ‘administrador’, el atacante puede tomar el control», dijo en un mensaje directo. «Pero no lo sabes de antemano. Por lo tanto, asumo que los atacantes simplemente intentarán dejar atrás muchas instalaciones de WordPress devastadas mientras secuestran las pocas en las que funciona este ataque».
El Importador de demostración de ThemeGrill se utiliza para importar automáticamente otros complementos disponibles de la empresa de desarrollo web https://themegrill.com/. Las estadísticas de WordPress inicialmente dijeron que el complemento del importador recibió 200,000 instalaciones. Más recientemente, el número se redujo a 100 000, probablemente porque muchos sitios web optaron por desinstalarlo.
Según WebARX, la vulnerabilidad ha estado activa durante unos tres años y reside en las versiones de 1.3.4 a 1.6.1. La solución está disponible en la versión 1.6.2, aunque una versión más nueva (conocida como 1.6.3) estuvo disponible en las últimas 12 horas.
Falta de autentificación
El error se debe a una falla en la autenticación de los usuarios antes de permitirles ejecutar comandos administrativos privilegiados. Los piratas informáticos pueden abusar de esta falla al enviar solicitudes web que contienen cadenas de texto especialmente diseñadas.
«Esta es una vulnerabilidad grave y puede causar una cantidad significativa de daño», escribieron los investigadores de WebARX en la divulgación de este fin de semana. «Dado que no requiere una carga sospechosa como nuestro hallazgo anterior en InfiniteWP, no se espera que ningún firewall bloquee esto de forma predeterminada, y se debe crear una regla especial para bloquear esta vulnerabilidad».
Específicamente, la vulnerabilidad permite a los atacantes eliminar todas las tablas y llenar la base de datos con la configuración y los datos predeterminados. Las cuentas denominadas «admin», suponiendo que existan, se configuran con su contraseña conocida previamente. En el caso de que existan cuentas denominadas admin, el atacante se encontrará conectado con derechos administrativos.
Los investigadores de WebARX descubrieron la vulnerabilidad y la informaron a los desarrolladores de ThemeGrill el 2 de febrero. El desarrollador del complemento no emitió una solución hasta el domingo. Los sitios web que usan ThemeGrill deberían actualizarse inmediatamente. Mejor aún, como recomendó Böck, deberían desinstalar el complemento por completo. La vulnerabilidad es distinta de otro error informado durante el fin de semana en el complemento de WordPress wpCentral. Esa falla permite a los usuarios que no son de confianza aumentar los privilegios.
