### Hackers comprometen el sistema de actualizaciones de Smart Slider 3 Pro e inyectan backdoors en WordPress y Joomla

#### 1. Introducción

En un incidente que pone de manifiesto la creciente sofisticación de los ataques a la cadena de suministro de software, actores maliciosos han logrado comprometer el sistema de actualizaciones de Smart Slider 3 Pro, un popular plugin utilizado en millones de sitios web que operan con WordPress y Joomla. Esta brecha ha permitido a los atacantes distribuir versiones manipuladas del plugin, dotadas de múltiples puertas traseras (backdoors), lo que representa una grave amenaza para la integridad y la seguridad de los sitios afectados.

#### 2. Contexto del Incidente o Vulnerabilidad

Smart Slider 3 Pro es una herramienta de creación de sliders y contenido visual interactivo, ampliamente utilizada por empresas, entidades gubernamentales y particulares para mejorar la experiencia de usuario en sus portales web. Según datos recientes, la versión gratuita del plugin supera los 900.000 sitios activos en WordPress, mientras que la versión Pro, objeto del ataque, se estima en decenas de miles de instalaciones adicionales, tanto en WordPress como en Joomla.

El incidente salió a la luz cuando varios administradores detectaron comportamientos anómalos tras realizar una actualización rutinaria a través del sistema oficial del plugin. Investigaciones posteriores confirmaron que los servidores de actualización habían sido comprometidos, permitiendo la distribución controlada de versiones maliciosas entre el 26 y el 29 de junio de 2024.

#### 3. Detalles Técnicos

La versión maliciosa identificada corresponde a la 3.5.1.17 de Smart Slider 3 Pro. El archivo distribuido contenía varios scripts PHP ofuscados, diseñados para establecer puertas traseras persistentes en el sistema de gestión de contenidos. Entre las capacidades detectadas en el backdoor destacan:

– **Ejecución remota de código (RCE)**: Los atacantes pueden ejecutar comandos arbitrarios en el servidor comprometido.
– **Creación de usuarios administrativos ocultos**: Elevación de privilegios y persistencia.
– **Exfiltración de credenciales**: Robo de contraseñas y bases de datos de usuarios.
– **Carga y ejecución de payloads adicionales**: Posibilidad de desplegar ransomware, webshells o troyanos bancarios.

El análisis de los Tácticas, Técnicas y Procedimientos (TTP) utilizados se alinea con los identificadores MITRE ATT&CK T1195 (Supply Chain Compromise) y T1059 (Command and Scripting Interpreter). Los indicadores de compromiso (IoC) incluyen archivos PHP con nombres aparentemente legítimos, pero con código ofuscado y conexiones salientes a dominios controlados por los atacantes, como `cdn-update[.]pro` y `slider-update[.]xyz`.

No se han detectado, hasta el momento, exploits públicos en frameworks como Metasploit, pero se ha observado uso de herramientas de post-explotación y persistencia automatizada similares a las empleadas en Cobalt Strike.

#### 4. Impacto y Riesgos

El alcance del ataque es significativo: según estimaciones preliminares, aproximadamente el 12% de las instalaciones de Smart Slider 3 Pro habrían descargado e instalado la versión comprometida antes de que los servidores de actualización fueran saneados. Esto supone una superficie de ataque potencial de entre 7.000 y 12.000 sitios web.

El impacto va más allá de la pérdida de control sobre los sitios, ya que los atacantes pueden utilizar los recursos comprometidos para campañas de phishing, distribución de malware o ataques a visitantes de las webs afectadas (watering hole). Además, la exfiltración de datos personales podría desencadenar investigaciones regulatorias bajo el Reglamento General de Protección de Datos (GDPR) y la directiva NIS2.

#### 5. Medidas de Mitigación y Recomendaciones

Las siguientes acciones son vitales para limitar la exposición y prevenir explotación adicional:

– Identificar y revertir inmediatamente la versión del plugin a una edición verificada y limpia (idealmente anterior a la 3.5.1.17).
– Realizar un escaneo exhaustivo del sistema de archivos y las bases de datos en busca de puertas traseras, usuarios no autorizados y scripts sospechosos.
– Rotar todas las credenciales administrativas y reiniciar claves de API posiblemente expuestas.
– Monitorizar logs de acceso y tráfico de red en busca de conexiones salientes a dominios maliciosos.
– Aplicar segmentación de red y revisar permisos de archivos y carpetas.
– Notificar al DPO y a las autoridades en caso de detección de exfiltración de datos personales.

#### 6. Opinión de Expertos

Especialistas en ciberseguridad coinciden en que este incidente refuerza la tendencia al alza de ataques a la cadena de suministro en el ecosistema de plugins y extensiones. Tal y como apunta Javier Pérez, analista de amenazas en S21sec: “La confianza ciega en los sistemas automáticos de actualización de terceros puede convertirse en un vector crítico, especialmente cuando hablamos de plugins con permisos elevados”.

Por su parte, la comunidad de desarrolladores de WordPress y Joomla aboga por una revisión profunda de los mecanismos de firma digital y verificación de integridad en los procesos de actualización, así como por una vigilancia proactiva de las anomalías en el comportamiento del software post-actualización.

#### 7. Implicaciones para Empresas y Usuarios

Para las empresas, el incidente subraya la importancia de gestionar el inventario de plugins y realizar auditorías periódicas. La exposición a multas bajo el GDPR, así como potenciales reclamaciones de clientes afectados, puede suponer un coste económico y reputacional considerable. Para los usuarios finales, la principal recomendación es actualizar únicamente desde fuentes oficiales y desconfiar de actualizaciones no verificadas, incluso si provienen de canales aparentemente legítimos.

#### 8. Conclusiones

El compromiso del sistema de actualizaciones de Smart Slider 3 Pro representa un caso paradigmático de los riesgos asociados a la cadena de suministro en el software de gestión de contenidos. La rápida detección y respuesta es clave para limitar daños, pero la prevención pasa por una combinación de controles técnicos, revisiones de seguridad y cultura de ciberhigiene en todos los eslabones del ciclo de vida del software.

(Fuente: www.bleepingcomputer.com)