**Grave vulnerabilidad en Gravity SMTP expone información sensible en más de 100.000 sitios WordPress**
—
### 1. Introducción
Una nueva vulnerabilidad crítica ha sido identificada en Gravity SMTP, un popular plugin de WordPress utilizado para el envío de correos electrónicos mediante servidores SMTP. El fallo, actualmente bajo explotación activa, permite la divulgación de información sensible sin necesidad de autenticación, poniendo en riesgo a más de 100.000 sitios web que utilizan este complemento. La situación ha generado alarma en la comunidad de ciberseguridad y requiere medidas inmediatas por parte de administradores y responsables de seguridad.
—
### 2. Contexto del Incidente o Vulnerabilidad
Gravity SMTP se ha consolidado en el ecosistema WordPress como una solución eficiente para gestionar el envío de correos electrónicos a través de servidores SMTP personalizados, mejorando la entregabilidad y el control sobre las comunicaciones electrónicas. Sin embargo, la reciente aparición de una vulnerabilidad de tipo «information disclosure» ha supuesto un severo revés para la seguridad de los sitios web que lo emplean.
Según informes recopilados por plataformas de seguimiento de vulnerabilidades y foros especializados, actores maliciosos han comenzado a explotar el fallo de forma activa. El riesgo es especialmente relevante para empresas que manejan información sensible a través de sus portales WordPress, ya que el acceso no autorizado a los datos SMTP puede derivar en ataques de mayor impacto, como el secuestro de cuentas, interceptación de comunicaciones o campañas de phishing dirigidas.
—
### 3. Detalles Técnicos
El fallo ha sido catalogado bajo el identificador **CVE-2024-2876**. La vulnerabilidad afecta a las versiones de Gravity SMTP previas a la 1.6.3. El problema reside en la falta de controles de autenticación en uno de los endpoints REST API expuestos por el plugin, lo que permite a cualquier atacante remoto realizar solicitudes y obtener información confidencial almacenada en la configuración del complemento.
**Vectores de ataque y TTPs (MITRE ATT&CK):**
– **T1190 (Exploit Public-Facing Application):** Los actores explotan aplicaciones expuestas públicamente mediante explotación de vulnerabilidades conocidas.
– **T1087 (Account Discovery):** Acceso a credenciales SMTP y usuarios de correo electrónico.
– **T1040 (Network Sniffing):** Una vez obtenidas las credenciales, es posible interceptar o manipular el tráfico de correo electrónico.
**Indicadores de Compromiso (IoC):**
– Solicitudes anómalas a rutas `/wp-json/gravitysmtp/v1/` realizadas desde direcciones IP desconocidas.
– Acceso a logs con peticiones GET/POST no autenticadas al endpoint vulnerable.
– Cambios repentinos en la configuración SMTP del sitio.
Según pruebas realizadas con frameworks como Metasploit, ya existen módulos customizados que permiten explotar la vulnerabilidad de forma automatizada, facilitando la obtención de credenciales y configuraciones SMTP en cuestión de segundos.
—
### 4. Impacto y Riesgos
El impacto de esta vulnerabilidad es elevado. Las credenciales de SMTP expuestas pueden permitir a los atacantes:
– Enviar correos electrónicos fraudulentos desde dominios legítimos, facilitando ataques de phishing y suplantación de identidad.
– Interceptar o modificar comunicaciones confidenciales de la empresa.
– Acceder a información sensible de usuarios y clientes.
– Elevar privilegios dentro del entorno WordPress si se combinan con otras vulnerabilidades.
El riesgo se agrava por la masiva adopción del plugin (más de 100.000 instalaciones activas) y la facilidad de explotación, dado que no se requiere autenticación previa ni conocimientos avanzados.
—
### 5. Medidas de Mitigación y Recomendaciones
Se recomienda a todos los administradores y responsables de seguridad:
– Actualizar Gravity SMTP a la versión **1.6.3 o superior** de forma inmediata.
– Realizar un inventario de plugins instalados y eliminar o reemplazar aquellos que no sean imprescindibles.
– Revisar los logs de accesos y eventos en el servidor en busca de actividad sospechosa desde el 1 de junio de 2024, fecha en la que se detectó la primera explotación activa.
– Rotar todas las credenciales SMTP almacenadas en el plugin, incluso si no se detecta compromiso.
– Implementar controles de acceso adicionales como autenticación multifactor (MFA) y limitar el acceso a la administración de WordPress por IP.
– Realizar auditorías periódicas de seguridad y pruebas de pentesting sobre el entorno WordPress.
—
### 6. Opinión de Expertos
Especialistas en ciberseguridad como Kevin Beaumont y forenses de SANS Institute han advertido sobre la importancia de controlar los plugins de terceros en entornos WordPress, frecuentemente objetivo de ataques automatizados. Beaumont señala: “La exposición de credenciales SMTP es una de las vías más rápidas para comprometer la reputación de un dominio y lanzar campañas de phishing a gran escala”. Desde el CERT-EU, se insiste en la importancia de aplicar los principios de “mínimo privilegio” y “defensa en profundidad” en la gestión de plataformas web críticas.
—
### 7. Implicaciones para Empresas y Usuarios
Las organizaciones afectadas pueden enfrentarse a graves consecuencias, desde el envío masivo de spam y la inserción en listas negras de correo hasta posibles sanciones bajo la legislación europea, como el GDPR y la directiva NIS2, debido a la filtración de datos de usuarios. Los usuarios finales, por su parte, quedan expuestos a campañas de phishing sofisticadas que utilizan la infraestructura legítima de la empresa.
—
### 8. Conclusiones
La vulnerabilidad en Gravity SMTP pone de manifiesto la importancia de una gestión proactiva de la seguridad en entornos WordPress, especialmente en lo relativo a plugins de terceros. La facilidad de explotación, el elevado impacto y la rápida adopción del exploit obligan a una respuesta inmediata por parte de administradores y responsables de seguridad. La actualización urgente, la rotación de credenciales y la mejora de controles de acceso son medidas imprescindibles para mitigar el riesgo y proteger la reputación e integridad de la infraestructura digital.
(Fuente: www.bleepingcomputer.com)