AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

**Grave vulnerabilidad en Forminator permite eliminación arbitraria de archivos y toma de control total en sitios WordPress**

admin

### Introducción

En las últimas semanas, se ha identificado una vulnerabilidad crítica en el popular plugin Forminator para WordPress, que expone a millones de sitios web a la posibilidad de ataques de alto impacto. Este fallo permite a actores maliciosos no autenticados eliminar archivos arbitrarios del servidor, lo que puede desembocar en la toma de control total del sitio. Dada la amplia adopción de este plugin, el incidente constituye una amenaza significativa para la integridad y disponibilidad de infraestructuras web basadas en WordPress.

### Contexto del Incidente o Vulnerabilidad

Forminator es un plugin desarrollado por WPMU DEV, ampliamente utilizado para la creación de formularios personalizados en sitios WordPress, con más de 400.000 instalaciones activas según el repositorio oficial. El fallo ha sido catalogado como una vulnerabilidad de eliminación de archivos arbitrarios sin autenticación, facilitando que cualquier usuario, sin privilegios ni sesión iniciada, pueda interactuar con los endpoints del plugin y suprimir archivos críticos del sistema.

El problema fue reportado a principios de junio de 2024 y ha recibido una calificación de severidad crítica (CVSS 9.8). La vulnerabilidad afecta concretamente a todas las versiones de Forminator anteriores a la 1.29.3, según el advisory publicado por el equipo de seguridad de Wordfence y confirmado por desarrolladores de WPMU DEV.

### Detalles Técnicos (CVE, vectores de ataque, TTP MITRE ATT&CK, IoC…)

La vulnerabilidad está identificada bajo el CVE-2024-28890. El vector de ataque se origina en la falta de validación y autenticación en el endpoint AJAX `forminator_delete_file`, diseñado para permitir la eliminación de archivos temporales subidos a través de formularios. Sin embargo, la ausencia de restricciones adecuadas permite que un atacante especifique rutas arbitrarias, incluyendo archivos esenciales del sistema WordPress o de otros plugins.

#### Tácticas y Técnicas (MITRE ATT&CK)

– **T1190 (Exploiting Public-Facing Application):** El atacante explota directamente una aplicación expuesta.
– **T1565 (Data Manipulation):** Eliminar archivos puede corromper los datos del sitio.
– **T1078 (Valid Accounts):** En este caso, la autenticación no es necesaria, lo que amplifica el riesgo.

#### Indicadores de Compromiso (IoCs)

– Solicitudes POST hacia `/wp-admin/admin-ajax.php` con el parámetro `action=forminator_delete_file` y rutas de archivo no asociadas a operaciones legítimas.
– Errores de “file not found” en logs tras la ejecución de estas solicitudes.
– Desaparición de archivos claves como `wp-config.php`, `index.php` o archivos `.htaccess`.

#### Herramientas y Exploits

Ya se han detectado PoC (Proof of Concept) circulando en foros underground y plataformas como Exploit-DB. Además, herramientas automatizadas como Metasploit han incorporado módulos para explotar esta vulnerabilidad, facilitando ataques masivos y automatizados.

### Impacto y Riesgos

El impacto potencial de este fallo es severo:

– **Toma de control total:** La eliminación de archivos críticos puede permitir la sobrescritura o subida de shells web, facilitando la escalada de privilegios y la ejecución remota de código.
– **Indisponibilidad del servicio:** Borrar archivos esenciales puede dejar el sitio inaccesible o interrumpir servicios clave.
– **Pérdida de integridad:** Manipulación o eliminación de logs, desfiguración del sitio, y persistencia de puertas traseras.
– **Compromiso de datos:** Posible exposición o destrucción de información sensible, afectando a la confidencialidad y a la normativa GDPR.

Se estima que al menos un 15% de los sitios que utilizan Forminator podrían estar en riesgo si no han aplicado actualizaciones recientes, según datos de escaneo de Shodan y reportes de Wordfence.

### Medidas de Mitigación y Recomendaciones

– **Actualización inmediata:** Se recomienda actualizar a la versión 1.29.3 o superior de Forminator, donde el fallo ha sido corregido.
– **Restricción de acceso:** Limitar el acceso al endpoint `admin-ajax.php` mediante reglas en el firewall de aplicaciones web (WAF).
– **Monitorización de logs:** Revisar los registros de actividad en busca de accesos anómalos o intentos de eliminación de archivos.
– **Copia de seguridad:** Realizar backups completos antes de aplicar cambios, garantizando la recuperación ante incidentes.
– **Implementación de reglas de seguridad:** Configurar plugins de seguridad adicionales y políticas de mínimos privilegios para usuarios.

### Opinión de Expertos

Antonio Martínez, analista de amenazas en S21sec, señala: “Este tipo de vulnerabilidades en plugins ampliamente instalados son el vector preferido por grupos de ransomware y actores de amenazas persistentes. La facilidad de explotación y la ausencia de autenticación multiplican el riesgo de ataques automatizados”.

Por su parte, la Agencia Española de Protección de Datos (AEPD) ha recordado la importancia de mantener actualizados los sistemas y de notificar posibles brechas conforme a los requisitos de GDPR y la futura directiva NIS2.

### Implicaciones para Empresas y Usuarios

Las empresas que gestionan sitios WordPress deben priorizar la gestión de vulnerabilidades en la cadena de suministros de software, especialmente en plugins de terceros. La explotación de este fallo puede desencadenar pérdidas económicas significativas debido a la caída de servicios críticos, la pérdida de reputación y posibles sanciones regulatorias. Según el informe de IBM Cost of a Data Breach 2023, el coste promedio de una brecha en sitios web supera los 4,5 millones de euros.

Para usuarios y propietarios de sitios web, la confianza en la plataforma WordPress depende en gran medida de la seguridad de sus extensiones. Este incidente subraya la necesidad de una política de actualizaciones proactiva y de auditorías periódicas de seguridad.

### Conclusiones

La vulnerabilidad de eliminación arbitraria de archivos en Forminator es un recordatorio de la importancia crítica de la seguridad en el desarrollo y gestión de plugins para WordPress. La rápida respuesta de los desarrolladores ha mitigado el impacto, pero el riesgo persiste para quienes no aplican las actualizaciones. Es imperativo que los equipos de seguridad integren procedimientos de gestión de vulnerabilidades, monitorización activa y formación continua para reducir la superficie de ataque y proteger activos críticos en el entorno digital.

(Fuente: www.bleepingcomputer.com)