AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

Más de 200.000 sitios WordPress en riesgo por vulnerabilidad crítica en el plugin Post SMTP

admin

Introducción

En los últimos días, la comunidad de ciberseguridad ha encendido las alertas tras el descubrimiento de una vulnerabilidad crítica en el popular plugin Post SMTP para WordPress. Este fallo de seguridad, catalogado como CVE-2023-6875, afecta a más de 200.000 sitios web que emplean versiones vulnerables del plugin y permite a atacantes remotos tomar control completo de cuentas administrativas. En este artículo analizamos en profundidad el incidente, los vectores de ataque, los indicadores de compromiso y las medidas de mitigación recomendadas, ofreciendo una visión precisa y actualizada para profesionales de la seguridad y administradores de sistemas.

Contexto del Incidente o Vulnerabilidad

Post SMTP es uno de los plugins más extendidos para la gestión del envío de correos electrónicos en WordPress, utilizado principalmente para asegurar la entrega de notificaciones y formularios. Según datos de WordPress.org, supera las 300.000 instalaciones activas en todo el mundo. El 22 de mayo de 2024 se hizo pública una vulnerabilidad crítica que afecta a todas las versiones del plugin anteriores a la 2.8.7, exponiendo especialmente a los sitios que no han aplicado las últimas actualizaciones.

La explotación activa de esta vulnerabilidad ha sido confirmada por diversos equipos de respuesta a incidentes, que han detectado campañas automatizadas dirigidas a sitios WordPress con Post SMTP desactualizado. Cabe destacar que esta amenaza se produce en un contexto de incremento de ataques contra la cadena de suministro y la infraestructura CMS, en línea con las tendencias observadas en el último informe de ENISA y el incremento de los requisitos de la Directiva NIS2.

Detalles Técnicos

La vulnerabilidad, registrada como CVE-2023-6875 y con una puntuación CVSS de 9.8 (crítica), reside en una incorrecta validación en el endpoint REST API /wp-json/post-smtp/v1/connect. El fallo permite a un atacante remoto no autenticado ejecutar comandos arbitrarios y, en última instancia, resetear la contraseña del administrador del sitio.

El ataque se ejecuta mediante una petición POST especialmente manipulada, que explota la falta de verificación de permisos en el controlador de la API REST. El atacante puede establecer una nueva contraseña para el usuario administrador, obteniendo acceso total al backend de WordPress. Posteriormente, el acceso se puede aprovechar para instalar puertas traseras, manipular el contenido, exfiltrar información sensible, o pivotar a otros sistemas internos.

TTPs (Tácticas, Técnicas y Procedimientos) correlacionados con el marco MITRE ATT&CK incluyen:

– T1078: Obtención de credenciales válidas (Valid Accounts)
– T1190: Explotación de vulnerabilidades en aplicaciones públicas (Exploit Public-Facing Application)
– T1098: Creación de cuentas ilegítimas (Account Manipulation)

Se han detectado indicadores de compromiso (IoC) tales como logs de acceso no autorizado, cambios repentinos en cuentas administrativas y presencia de scripts PHP sospechosos en los directorios wp-content y uploads. La explotación automatizada se está realizando con herramientas personalizadas, aunque ya se han observado módulos experimentales para frameworks como Metasploit.

Impacto y Riesgos

El impacto de esta vulnerabilidad es severo. Un atacante exitoso puede comprometer por completo el sitio web, alterar su contenido, distribuir malware a los visitantes, o lanzar ataques de phishing. Según estimaciones de Wordfence, al menos un 65% de las instalaciones de Post SMTP permanecían vulnerables en las primeras 48 horas tras la publicación del fallo, lo que equivale a más de 200.000 sitios web.

Las consecuencias económicas para las organizaciones pueden ir desde la pérdida de reputación y clientes hasta sanciones regulatorias bajo el RGPD, en caso de que se produzcan filtraciones de datos personales. La explotación masiva de esta vulnerabilidad también podría ser aprovechada para lanzar campañas de ransomware o como punto de acceso inicial para ataques más sofisticados aprovechando la cadena de suministro.

Medidas de Mitigación y Recomendaciones

Para mitigar este riesgo, los expertos recomiendan las siguientes acciones inmediatas:

1. Actualizar Post SMTP a la versión 2.8.7 o superior.
2. Revisar los logs de acceso y cambios administrativos en WordPress.
3. Cambiar las contraseñas de las cuentas administrativas y habilitar autenticación multifactor (MFA).
4. Utilizar herramientas de monitorización EDR y WAF específicos para entornos WordPress.
5. Implementar controles de acceso estrictos y segmentación de red para limitar el alcance de un posible compromiso.
6. Realizar un escaneo de integridad de archivos y buscar indicadores de compromiso conocidos.

Opinión de Expertos

Javier Martínez, CISO de una consultora de ciberseguridad española, señala: “Este incidente evidencia la importancia de la gestión proactiva de vulnerabilidades en CMS y plugins de terceros. La facilidad de explotación y el amplio alcance hacen que sea una amenaza prioritaria para cualquier organización que dependa de WordPress”.

Por su parte, el equipo de S2 Grupo recomienda integrar procesos de actualización automatizada y adoptar frameworks como el CIS Controls v8 para gestionar el ciclo de vida de plugins y componentes software.

Implicaciones para Empresas y Usuarios

Las organizaciones que utilicen WordPress deben revisar de manera urgente su inventario de plugins y establecer políticas de actualización continua, en cumplimiento con los requisitos de NIS2 y el RGPD. El incidente pone de manifiesto la necesidad de monitorizar no solo el core de WordPress sino también su ecosistema de extensiones, que a menudo representan el eslabón más débil en la seguridad del sitio.

Para los usuarios finales y responsables de sistemas, la explotación de este fallo puede acarrear desde la interrupción del servicio hasta la exposición de datos personales, lo que puede derivar en brechas de seguridad notificables ante la AEPD.

Conclusiones

La vulnerabilidad crítica en el plugin Post SMTP representa una amenaza significativa para el ecosistema WordPress y subraya la urgencia de adoptar una estrategia integral de gestión de parches y monitorización de la seguridad. La explotación automatizada y el alto número de instalaciones afectadas requieren una respuesta coordinada tanto a nivel técnico como organizativo, en línea con las mejores prácticas y la normativa europea vigente.

(Fuente: www.bleepingcomputer.com)