AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Ataques

**Grave compromiso de WordPress: manipulación de JS en PushEngage, OptinMonster y TrustPulse permite escalada de privilegios y backdoors**

admin

### 1. Introducción

En los últimos días, la comunidad de ciberseguridad ha detectado una campaña de ataques dirigida a sitios WordPress mediante la manipulación de archivos JavaScript de confianza incorporados en populares plataformas de interacción como PushEngage, OptinMonster y TrustPulse. Este incidente ha puesto de manifiesto riesgos críticos en la cadena de suministro de software y la importancia de la protección de los recursos estáticos alojados en servicios de terceros. Los atacantes han logrado comprometer la seguridad de administradores de sitios WordPress, generando accesos persistentes y escaladas de privilegios sin requerir interacción de los visitantes habituales.

### 2. Contexto del Incidente

El ataque se centra en la modificación de archivos JavaScript legítimos, comúnmente cargados por plugins utilizados para la gestión de notificaciones push, captación de leads y pruebas sociales. PushEngage, OptinMonster y TrustPulse, con millones de instalaciones activas a nivel global, confían en la carga dinámica de scripts desde sus propios CDN (Content Delivery Networks) para la funcionalidad en tiempo real de sus herramientas.

Los atacantes lograron insertar código malicioso en estos archivos JavaScript, explotando la confianza ciega de miles de administradores de WordPress en la procedencia y autenticidad de estos recursos. El vector de ataque no afectó a visitantes normales, sino que se activaba selectivamente cuando un administrador autenticado accedía al panel de WordPress y se cargaba el JS manipulado.

### 3. Detalles Técnicos

#### Vulnerabilidad y CVE

Hasta la fecha de redacción, aún no se ha asignado un CVE específico a este incidente, aunque se espera su publicación inminente dada la gravedad y el alcance de la campaña. Las versiones afectadas incluyen, de forma general, cualquier instalación activa de PushEngage, OptinMonster o TrustPulse que cargue archivos JS desde CDN comprometidos previos a la notificación oficial de mitigación.

#### Vector de Ataque

El vector de ataque se basa en la inyección de código JavaScript malicioso en archivos servidos desde CDN de confianza. Al cargarse el script en el navegador de un usuario autenticado como administrador, el payload ejecutaba llamadas AJAX hacia el backend de WordPress con los permisos del usuario activo. El código automatizaba la creación de una nueva cuenta de administrador con credenciales controladas por el atacante y, acto seguido, instalaba y activaba un plugin oculto («backdoor») que permitía el acceso persistente al sitio incluso si la cuenta fraudulenta era eliminada.

#### TTP según MITRE ATT&CK

– **T1190: Exploit Public-Facing Application**
– **T1059.007: Command and Scripting Interpreter – JavaScript**
– **T1078: Valid Accounts**
– **T1505.003: Server Software Component: Web Shell**

#### Indicadores de Compromiso (IoC)

– Aparición de nuevos usuarios con privilegios de administración inesperados.
– Presencia de un plugin no registrado en los repositorios oficiales ni en la lista de plugins instalados visiblemente.
– Comunicación sospechosa desde el sitio hacia direcciones IP externas no asociadas con los proveedores legítimos.
– Modificación reciente de archivos JS cargados desde dominios de PushEngage, OptinMonster y TrustPulse.

### 4. Impacto y Riesgos

Las estadísticas preliminares sugieren que entre el 5% y el 10% de los sitios que utilizan activamente estos plugins han sido expuestos, con miles de sitios potencialmente comprometidos. El impacto es crítico: una vez en control, el atacante puede manipular el contenido del sitio, instalar malware adicional, robar información sensible, realizar ataques de phishing y, en última instancia, afectar la reputación y cumplimiento normativo del titular del sitio (especialmente bajo regulaciones como GDPR y NIS2).

Se han detectado variantes del ataque que aprovechan frameworks como Metasploit y Cobalt Strike para el despliegue de payloads secundarios, así como técnicas de evasión avanzadas para evitar la detección por parte de plugins de seguridad convencionales.

### 5. Medidas de Mitigación y Recomendaciones

– **Actualización inmediata:** Verificar y actualizar a las últimas versiones de PushEngage, OptinMonster y TrustPulse, asegurándose de que los archivos JS cargados desde CDN sean legítimos.
– **Revisión de integridad:** Comprobar la lista de usuarios administradores y eliminar cuentas sospechosas. Revisar la presencia de plugins ocultos o no autorizados.
– **Restricción de permisos:** Implementar políticas de mínimo privilegio y doble factor de autenticación para administradores.
– **Monitorización activa:** Configurar alertas para la creación de usuarios privilegiados y cambios en la configuración del sitio.
– **Implementación de SRI (Subresource Integrity):** Para verificar la integridad de los scripts externos.
– **Revisión de logs y análisis forense:** Buscar patrones de acceso anómalos y rastrear posibles movimientos laterales.

### 6. Opinión de Expertos

Especialistas en seguridad de WordPress y analistas SOC coinciden en que este incidente subraya la necesidad de adoptar modelos de confianza cero (Zero Trust) y de proteger la cadena de suministro digital. “La dependencia de recursos externos sin mecanismos de verificación robusta es una puerta abierta para ataques de esta naturaleza”, señala Juan Carlos V., CISO de una consultora de ciberseguridad. Además, se recomienda a los equipos de TI realizar auditorías periódicas de los scripts cargados y establecer controles de acceso más estrictos para administradores.

### 7. Implicaciones para Empresas y Usuarios

El incidente tiene profundas repercusiones para organizaciones sujetas a la GDPR y la inminente NIS2, ya que la exposición de datos personales o el control malicioso del sitio puede acarrear sanciones significativas. Para los usuarios, el riesgo radica en la posible manipulación de formularios y contenidos, lo que puede derivar en robos de credenciales, fraudes y campañas de desinformación.

### 8. Conclusiones

El compromiso de archivos JavaScript de confianza en WordPress mediante plugins de gran difusión evidencia la urgencia de reforzar los controles sobre la cadena de suministro y los recursos de terceros. La sofisticación del ataque, dirigido específicamente a administradores, lo convierte en una amenaza especialmente peligrosa. Se recomienda a todas las organizaciones afectadas tomar medidas inmediatas de remediación, revisar sus políticas de seguridad y apostar por la verificación continua de la integridad de los recursos externos.

(Fuente: feeds.feedburner.com)