AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

**Cibercriminales explotan vulnerabilidades críticas en extensiones Balbooa Forms e iCagenda para Joomla**

### 1. Introducción

En los últimos días, el sector de la ciberseguridad ha sido testigo de una oleada de ataques dirigidos a sitios web que utilizan el popular CMS Joomla, en concreto a través de vulnerabilidades recientemente descubiertas en las extensiones Balbooa Forms e iCagenda. Estos fallos, que permiten la ejecución remota de código (RCE), están siendo aprovechados activamente por actores maliciosos para comprometer la integridad de los servidores afectados. La situación ha generado una alerta dirigida tanto a administradores de sistemas como a equipos de respuesta ante incidentes, dada la elevada criticidad de los fallos y la amplia base instalada de Joomla en entornos empresariales y administraciones públicas.

### 2. Contexto del Incidente o Vulnerabilidad

Joomla continúa siendo, junto a WordPress y Drupal, uno de los CMS más extendidos a nivel mundial, con una cuota de mercado superior al 2,5% de todos los sitios web según W3Techs. Extensiones como Balbooa Forms e iCagenda son ampliamente utilizadas para gestionar formularios y eventos, respectivamente. Sin embargo, su popularidad las convierte en un vector recurrente para campañas de explotación masiva.

Las vulnerabilidades se han catalogado este mes y afectan a versiones específicas de ambas extensiones. El equipo de Balbooa y los desarrolladores de iCagenda han publicado parches de seguridad, pero la explotación de estas vulnerabilidades se ha intensificado en las últimas semanas, especialmente en sitios que no han aplicado las actualizaciones recomendadas.

### 3. Detalles Técnicos

#### Extensión Balbooa Forms

– **CVE asignada:** CVE-2024-27956
– **Versiones afectadas:** Balbooa Forms < 2.0.7
– **Descripción:** La vulnerabilidad reside en la falta de validación de datos en la función de procesamiento de formularios, lo que posibilita la inyección de código PHP arbitrario a través de campos manipulados.
– **Vector de ataque:** Un atacante no autenticado puede enviar una petición POST maliciosa al endpoint de procesamiento de formularios, aprovechando la ausencia de controles de autenticación y validación de entradas.
– **TTP MITRE ATT&CK:** T1190 (Exploit Public-Facing Application), T1059 (Command and Scripting Interpreter)
– **Exploits conocidos:** Ya existen módulos para Metasploit y scripts PoC publicados en plataformas como GitHub y Exploit-DB.

#### Extensión iCagenda

– **CVE asignada:** CVE-2024-29304
– **Versiones afectadas:** iCagenda < 3.9.2
– **Descripción:** Insuficiente filtrado de variables en la función de gestión de eventos permite a atacantes cargar archivos arbitrarios, lo que deriva en la ejecución de código remoto en el servidor.
– **Vector de ataque:** El atacante puede cargar archivos PHP especialmente diseñados a través de la funcionalidad de adjuntos, eludiendo restricciones mediante técnicas de doble extensión o manipulación MIME.
– **TTP MITRE ATT&CK:** T1105 (Ingress Tool Transfer), T1566 (Phishing), T1048 (Exfiltration Over Alternative Protocol)
– **Indicadores de Compromiso (IoC):** Aparición de archivos no autorizados en directorios de uploads, conexiones salientes a IPs anómalas y procesos PHP ejecutando shells reversos.

### 4. Impacto y Riesgos

La explotación de estas vulnerabilidades concede a los atacantes control total sobre los sistemas afectados, permitiéndoles desplegar webshells, instalar malware adicional (ransomware, minadores de criptomonedas) y pivotar hacia otros recursos internos. Según datos de Shodan, existen más de 60.000 instalaciones de Joomla potencialmente expuestas, y se estima que hasta un 40% de ellas podrían estar usando versiones vulnerables de las extensiones mencionadas.

En términos económicos, las brechas derivadas de la explotación de estos fallos pueden conllevar sanciones bajo el RGPD (hasta 20 millones de euros o el 4% de la facturación anual), además de daños reputacionales y costes asociados a la remediación y notificación de incidentes. Las organizaciones sujetas a la Directiva NIS2 también podrían enfrentarse a medidas correctivas severas por parte de las autoridades nacionales de ciberseguridad.

### 5. Medidas de Mitigación y Recomendaciones

– **Actualización inmediata:** Instalar las últimas versiones de Balbooa Forms (≥2.0.7) e iCagenda (≥3.9.2).
– **Auditoría de logs:** Revisar registros web y de sistema en busca de actividad sospechosa, especialmente cargas de archivos y ejecuciones de comandos inusuales.
– **Restricción de permisos:** Limitar los privilegios de escritura en directorios accesibles por la web.
– **Implementación de WAF:** Configurar firewalls de aplicaciones web para bloquear patrones de explotación conocidos.
– **Monitorización de IoC:** Vigilar la aparición de hashes y archivos asociados a webshells y malware comúnmente desplegado en este tipo de ataques.
– **Pruebas de penetración periódicas:** Realizar pentests y análisis de vulnerabilidades sobre las instalaciones de Joomla y sus extensiones críticas.

### 6. Opinión de Expertos

Expertos de organizaciones como OWASP y SANS Institute han advertido que la tendencia al uso de plugins y extensiones de terceros sin una política de actualización rigurosa incrementa el riesgo de exposición. Javier Martínez, director de un SOC en España, afirma: “Las cadenas de ataque observadas en estas campañas demuestran la profesionalización de los actores de amenazas, quienes automatizan la explotación de vulnerabilidades recién publicadas y priorizan objetivos fácilmente escalables, como los CMS populares en el sector público y pymes”.

### 7. Implicaciones para Empresas y Usuarios

Para las empresas, especialmente aquellas que dependen de portales Joomla para operaciones críticas o interacción con clientes, el incidente recalca la necesidad de una gestión proactiva de parches y un inventario actualizado de activos digitales. Los usuarios finales podrían verse afectados por filtraciones de datos personales, interrupciones de servicio y posible propagación de ataques a través de phishing o malware desde sitios comprometidos.

### 8. Conclusiones

La explotación activa de vulnerabilidades en Balbooa Forms e iCagenda para Joomla subraya la urgencia de una ciberhigiene adecuada en la gestión de extensiones y actualizaciones. La rápida respuesta con parches por parte de los desarrolladores contrasta con la lentitud en la adopción de las actualizaciones por parte de muchos administradores, lo que amplifica el riesgo de incidentes. Es imperativo reforzar las estrategias de defensa, priorizar la formación en ciberseguridad y adoptar marcos de referencia como NIST o ISO 27001 para reducir la superficie de ataque de los CMS más populares.

(Fuente: www.securityweek.com)