AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

Campaña masiva explota vulnerabilidades críticas en plugins GutenKit y Hunk Companion de WordPress

admin

Introducción

En los últimos días, la comunidad de ciberseguridad ha detectado una campaña de explotación a gran escala que afecta a sitios WordPress mediante la explotación de vulnerabilidades críticas en dos plugins ampliamente utilizados: GutenKit y Hunk Companion. Estos fallos de seguridad, aunque conocidos y corregidos en versiones recientes, siguen siendo aprovechados debido a la persistencia de instalaciones desactualizadas, permitiendo a los atacantes ejecutar código remoto (RCE) y comprometer gravemente la integridad de los sistemas afectados. El elevado impacto y la facilidad de explotación han situado este incidente en el foco de atención de los equipos de respuesta a incidentes y los profesionales del sector.

Contexto del Incidente o Vulnerabilidad

WordPress, que alimenta cerca del 43% de todos los sitios web a nivel global, se ha convertido en un objetivo prioritario para actores maliciosos. En este caso, la campaña se dirige a dos plugins concretos:

– **GutenKit (antes conocido como GutenKit Pro)**: Plugin popular para la construcción visual de páginas en WordPress.
– **Hunk Companion**: Herramienta auxiliar para temas WordPress, que añade funcionalidades personalizadas.

Ambos plugins presentan vulnerabilidades críticas reportadas anteriormente. Según fuentes especializadas, más de 8.000 sitios siguen empleando versiones vulnerables de GutenKit y alrededor de 5.000 instancias de Hunk Companion no han sido actualizadas, pese a la disponibilidad de parches. La persistencia de estos fallos se debe, en gran parte, a la falta de mecanismos de actualización automática o a la desatención por parte de administradores que no gestionan de forma proactiva sus componentes.

Detalles Técnicos

Las vulnerabilidades explotadas han sido catalogadas con identificadores CVE y son de severidad crítica:

– **CVE-2023-48339 (GutenKit)**: Permite la ejecución remota de código (RCE) a través de la manipulación de formularios y la carga arbitraria de archivos PHP. El fallo reside en una validación insuficiente de entradas de usuario en endpoints AJAX expuestos sin autenticación.
– **CVE-2022-24356 (Hunk Companion)**: Similarmente, posibilita la ejecución de scripts maliciosos y la subida de archivos maliciosos, aprovechando la ausencia de controles de acceso y la gestión deficiente de permisos.

Los atacantes emplean técnicas recogidas en el framework MITRE ATT&CK, específicamente:

– **T1190 (Exploitation of Public-Facing Application)**: Apuntando directamente a aplicaciones web expuestas.
– **T1059 (Command and Scripting Interpreter)**: Utilización de intérpretes de comandos para ejecutar payloads tras la explotación.

En la campaña observada, los atacantes automatizan el escaneo de sitios WordPress y el envío de requests maliciosos a los endpoints vulnerables. Una vez comprometido el sistema, suelen desplegar webshells, backdoors PHP y cargas adicionales, muchas veces utilizando frameworks como **Metasploit** para facilitar la post-explotación y persistencia en los sistemas afectados.

Entre los **Indicadores de Compromiso (IoC)** destacan:

– Archivos PHP sospechosos en directorios /wp-content/uploads/.
– Requests POST inusuales a /wp-admin/admin-ajax.php.
– Presencia de procesos no autorizados y cambios en archivos .htaccess.

Impacto y Riesgos

La explotación exitosa de estas vulnerabilidades expone a las organizaciones a riesgos severos:

– **Toma de control total** del sitio web y recursos asociados.
– **Despliegue de malware** adicional (ransomware, phishing, troyanos bancarios).
– **Robo de credenciales** y datos sensibles de usuarios y clientes.
– **Pérdida de reputación** y sanciones regulatorias, especialmente bajo normativas como el GDPR y la directiva NIS2.
– **Afectación a la disponibilidad**: defacement, denegación de servicio o inclusión de contenido malicioso.

Según estimaciones de Wordfence y WPScan, al menos un 15% de los sitios WordPress vulnerables han sido ya comprometidos en las primeras 72 horas de la campaña, lo que podría suponer pérdidas económicas superiores a los 2 millones de euros si se suman costes de recuperación, sanciones y daños reputacionales.

Medidas de Mitigación y Recomendaciones

Para los equipos de seguridad, es imperativo:

– **Actualizar inmediatamente** los plugins GutenKit y Hunk Companion a sus últimas versiones seguras.
– **Monitorizar logs de acceso** y actividad inusual en /wp-admin/admin-ajax.php y /wp-content/uploads/.
– **Desplegar WAF** (Web Application Firewall) con reglas específicas para bloquear cargas y requests maliciosos.
– **Auditar la integridad de archivos** y eliminar cualquier webshell o backdoor detectado.
– **Implementar políticas de actualización automática** y procedimientos de gestión de vulnerabilidades para todos los componentes WordPress.
– **Revisar permisos y deshabilitar funciones innecesarias** para reducir la superficie de ataque.

Opinión de Expertos

Especialistas como Daniel García, CISO de una firma europea de ciberseguridad, advierten: “La explotación de plugins de terceros en WordPress es una de las vías más rentables para los atacantes. La falta de una política estricta de actualización y la ausencia de controles de seguridad avanzados, especialmente en PYMEs y organizaciones sin equipos dedicados, facilita la proliferación de este tipo de campañas.”

Por su parte, analistas del CERT-EU han recordado la obligación de notificar incidentes graves bajo la directiva NIS2 y la importancia de la respuesta temprana para limitar el alcance de las intrusiones.

Implicaciones para Empresas y Usuarios

El incidente subraya la necesidad de una gestión proactiva de los riesgos asociados al software de terceros. Las empresas deben revisar sus procedimientos de actualización y monitorización, así como formar a los responsables de sistemas en la identificación temprana de actividades sospechosas. Los usuarios finales, por su parte, pueden verse afectados por el robo de información personal y la exposición a campañas de malware secundarias.

Conclusiones

La actual campaña de explotación masiva contra plugins GutenKit y Hunk Companion evidencia la urgencia de mantener actualizados todos los componentes de los sistemas WordPress y de reforzar las estrategias de defensa en profundidad. La colaboración entre equipos técnicos, responsables de cumplimiento y usuarios finales será clave para frenar el impacto de estas amenazas recurrentes en el ecosistema web.

(Fuente: www.bleepingcomputer.com)