**Explotación activa de CVE-2024-3300: Hackers comprometen sitios WordPress a través de Everest Forms Pro**
—
### 1. Introducción
En las últimas semanas, la comunidad de ciberseguridad ha puesto el foco sobre una vulnerabilidad crítica recientemente identificada en el popular plugin de WordPress «Everest Forms Pro». El fallo, catalogado como CVE-2024-3300, está siendo explotado activamente por actores maliciosos, permitiéndoles tomar el control total de sitios web afectados. Este incidente destaca, una vez más, la importancia de la gestión proactiva de vulnerabilidades en entornos WordPress, especialmente cuando se utilizan plugins de terceros ampliamente adoptados por empresas e instituciones.
—
### 2. Contexto del Incidente o Vulnerabilidad
Everest Forms Pro es un plugin premium para WordPress utilizado por más de 100.000 sitios web para la creación y gestión avanzada de formularios. Su popularidad en sectores corporativos, educativos y comerciales lo convierte en un objetivo atractivo para atacantes. La vulnerabilidad CVE-2024-3300 fue reportada a finales de mayo de 2024 y afecta a las versiones hasta la 1.9.7.1 del plugin.
Los primeros indicios de explotación activa surgieron a través de foros de seguridad y plataformas de intercambio de inteligencia de amenazas, donde se observaron cargas maliciosas y actividades sospechosas vinculadas a instalaciones de Everest Forms Pro sin actualizar. El equipo de desarrollo del plugin lanzó un parche de emergencia el 2 de junio de 2024, pero se estima que decenas de miles de sitios siguen vulnerables por la demora en la actualización.
—
### 3. Detalles Técnicos
La vulnerabilidad CVE-2024-3300 permite la ejecución remota de código (RCE) sin autenticación, lo que otorga a un atacante privilegios administrativos completos sobre el sitio WordPress afectado. El vector de ataque reside en la función de procesamiento de archivos de subida de formularios, que carece de una validación robusta de los datos recibidos.
#### Detalles específicos:
– **CVE:** CVE-2024-3300
– **Plugins afectados:** Everest Forms Pro <= 1.9.7.1
– **Vector de ataque:** Remote Code Execution (RCE) vía carga de archivos maliciosos (por ejemplo, shells PHP).
– **TTP MITRE ATT&CK:** T1190 (Exploit Public-Facing Application), T1071.001 (Web Protocols), T1059.003 (Command and Scripting Interpreter: Windows Command Shell).
– **Indicadores de Compromiso (IoC):**
– Archivos PHP no reconocidos en los directorios `/wp-content/uploads/everest-forms/`
– Solicitudes POST sospechosas a `/wp-admin/admin-ajax.php`
– Inclusión de scripts externos en formularios
La explotación se facilita mediante la manipulación de los datos de formulario, permitiendo la inserción de cargas útiles que el servidor ejecuta con privilegios del entorno PHP. Se han observado exploits públicos y módulos para frameworks como Metasploit, lo que facilita la automatización del ataque incluso por actores con bajo nivel técnico.
—
### 4. Impacto y Riesgos
El impacto de la explotación de CVE-2024-3300 es crítico. Un atacante puede:
– Escalar privilegios hasta administrador del sitio WordPress
– Instalar webshells para persistencia y movimientos laterales
– Robar credenciales y datos de usuarios
– Utilizar el sitio como plataforma para campañas de phishing o distribución de malware
Según estimaciones de Wordfence, al menos un 18% de los sitios que utilizan Everest Forms Pro aún no han aplicado el parche, lo que representa una superficie de ataque considerable. Los riesgos legales y de cumplimiento regulatorio (GDPR, NIS2) son elevados, especialmente para sitios que procesan datos personales o información sensible.
—
### 5. Medidas de Mitigación y Recomendaciones
Para contener y mitigar el riesgo, se recomienda:
1. **Actualizar inmediatamente** a la versión 1.9.7.2 o superior de Everest Forms Pro.
2. Realizar un **análisis forense** en los logs de acceso y directorios de carga, en busca de archivos y actividades sospechosas.
3. Implementar soluciones WAF (Web Application Firewall) y reglas específicas que bloqueen cargas de archivos ejecutables.
4. Revisar y reforzar la gestión de permisos en el servidor de archivos y el entorno WordPress.
5. Aplicar políticas de monitorización continua, integrando alertas para cambios no autorizados en archivos críticos.
6. Considerar la autenticación multifactor para cuentas administrativas.
—
### 6. Opinión de Expertos
Investigadores de Sucuri y el equipo de Wordfence han advertido sobre la rapidez con la que los exploits han circulado en foros clandestinos y plataformas de pentesting. "La facilidad de explotación y el gran número de instalaciones potencialmente vulnerables hacen de CVE-2024-3300 una amenaza prioritaria para cualquier equipo de seguridad que gestione activos WordPress", señala Mark Drag, analista senior de amenazas. Por su parte, la Agencia de Ciberseguridad de la Unión Europea (ENISA) ha recordado la importancia de la actualización inmediata y la gestión de riesgos de la cadena de suministro de software.
—
### 7. Implicaciones para Empresas y Usuarios
Las empresas que dependen de WordPress para operaciones críticas deben considerar este incidente como un caso de estudio sobre las amenazas asociadas al ecosistema de plugins. La falta de control sobre el ciclo de vida de software de terceros puede derivar en brechas de seguridad con impacto reputacional, económico y legal. Los usuarios finales también pueden verse afectados por robo de datos, campañas de phishing y pérdida de confianza.
—
### 8. Conclusiones
La explotación activa de CVE-2024-3300 en Everest Forms Pro subraya la necesidad de estrategias de defensa en profundidad, actualizaciones rápidas y monitorización proactiva de activos WordPress. Los responsables de ciberseguridad deben priorizar la revisión de plugins críticos y fortalecer su postura ante la creciente sofisticación de ataques contra plataformas de gestión de contenido.
(Fuente: www.bleepingcomputer.com)