Explotan una vulnerabilidad de WordPress poco después de la publicación del 'exploit' de prueba de concepto
La explotación de la vulnerabilidad conduce a un ataque de cross-site scripting (XSS) en el que un ciberatacante puede inyectar scripts maliciosos, redirecciones, anuncios y otras formas de manipulación de URL en un site víctima de esta acción.
Unos atacantes comenzaron a explotar una vulnerabilidad recientemente desvelada en WordPress en las 24 horas posteriores a la publicación del exploit de prueba de concepto (PoC) por parte de la empresa, según desvela Akamai en su blog corporativo. Un investigador de Patchstack identificó la vulnerabilidad de alta gravedad CVE-2023-30777, que afecta al plugin WordPress Advanced Custom Fields, el pasado 2 de mayo.
La explotación de la vulnerabilidad conduce a un ataque de secuencias de comandos entre sites (XSS) en el que un ciberatacante puede inyectar secuencias maliciosas de comandos, redirecciones, anuncios y otras formas de manipulación de URL en un site víctima de esta acción. Esto podría, a su vez, hacer llegar esos scripts ilegítimos a los visitantes de ese site afectado. El plugin tiene más de dos millones de usuarios activos en todo el mundo.
"Esta vulnerabilidad permite a cualquier usuario no autenticado desde robar información sensible hasta, en este caso, escalar privilegios en el sitio WordPress engañando a usuarios con privilegios para que visiten la ruta URL manipulada". La vulnerabilidad descrita se solucionó en la versión 6.1.6, también solucionada en la versión 5.12.6", señaló Patchstack en un informe detallado el 5 de mayo que incluía un ejemplo de carga útil.
Los investigadores de seguridad de Akamai han descubierto ahora que se ha producido un importante intento de ataque en las 48 horas posteriores a la publicación del código de muestra. Los actores de la amenaza han utilizado la muestra para buscar sitios web vulnerables que no hayan aplicado el parche o actualizado a la última versión.
El tiempo de respuesta de los atacantes disminuye rápidamente
Este hecho pone de relieve que el tiempo de respuesta de los atacantes está disminuyendo rápidamente, lo que aumenta la necesidad de una gestión de parches potente y rápida, según indican desde Akamai. "En las horas siguientes al anuncio por parte de la empresa de la vulnerabilidad y el parche asociado, observamos un aumento de la actividad XSS. Una, en particular, destacó: la propia consulta PoC", añaden.
En las 48 horas inmediatamente posteriores a la publicación de los detalles, Akamai observó una cantidad significativa de actividad de escaneado. Esto coincide con la actividad de los atacantes observada también en otras vulnerabilidades de día cero.
"Es habitual que los investigadores de seguridad, los aficionados y las empresas que buscan su perfil de riesgo examinen las nuevas vulnerabilidades cuando se publican. Sin embargo, el volumen está aumentando, y el tiempo que transcurre entre la publicación y dicho aumento está disminuyendo drásticamente", señalan desde la compañía. Los ataques comenzaron 24 horas después de que se hiciera público el POC.
El actor malicioso copió y utilizó el código de muestra
En la actividad monitorizada por Akamai, el atacante copió y utilizó el código de muestra de Patchstack del escrito. Esta actividad se llevó a cabo en todas las áreas. "Esta amplitud de la actividad y la falta total de esfuerzo para crear un nuevo código de explotación nos indica que el actor de la amenaza no es sofisticado. El responsable estaba buscando sitios vulnerables e intentando explotar un objetivo fácil", según Akamai.
Esto demuestra la importancia de la gestión de parches y la rápida aplicación de los mismos para garantizar la seguridad. "Como se demostró aquí, la tasa de explotación de vulnerabilidades emergentes y recientemente reveladas sigue siendo alta, y es cada vez más rápida", indican desde la empresa, añadiendo que esto pone de relieve la necesidad de herramientas adecuadas para proporcionar visibilidad en tiempo real y opciones de mitigación para este tipo de ataques.
Las vulnerabilidades antiguas sin parchear facilitan el acceso a los atacantes
Este caso demuestra la velocidad a la que los atacantes intentan explotar vulnerabilidades no parcheadas. Vulnerabilidades conocidas tan antiguas como 2017 siguen siendo explotadas con éxito en ataques de gran alcance, ya que las organizaciones no logran parchearlas o remediarlas con éxito, según la empresa de seguridad Tenable.
Los atacantes patrocinados por Estados también han utilizado las vulnerabilidades conocidas para obtener acceso inicial a las organizaciones gubernamentales e interrumpir la infraestructura crítica. La empresa de seguridad aconseja que las organizaciones se centren en medidas preventivas de ciberseguridad en lugar de medidas reactivas de ciberseguridad posteriores a un suceso para mitigar el riesgo. Deben aplicarse actualizaciones y parches con regularidad.
