Vulnerabilidad crítica en WordPress expone a 4 millones de sitios, incluidos portales gubernamentales de México


Imagen: Zdzisław Beksiński



Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker y líder del Capítulo Querétaro de la Fundación OWASP.

Se ha identificado una vulnerabilidad crítica de omisión de autenticación en el complemento Really Simple Security (antes conocido como Really Simple SSL) para WordPress. Si un atacante la explota con éxito, podría obtener acceso administrativo remoto total a un sitio web afectado.

La falla de seguridad, catalogada como CVE-2024–10924 con una puntuación CVSS de 9.8, afecta tanto a las versiones gratuitas como a las premium del complemento, que actualmente está instalado en más de 4 millones de sitios WordPress.

La vulnerabilidad puede ser explotada mediante scripts, lo que la hace susceptible de ser utilizada en ataques automatizados a gran escala contra sitios web de WordPress. Tras su divulgación el 6 de noviembre de 2024, el problema fue corregido en la versión 9.1.2 del complemento, lanzada una semana después. Ante el riesgo de explotación masiva, los desarrolladores del complemento, en colaboración con WordPress, implementaron una actualización forzada para todos los sitios que utilizaban este complemento antes de que se hiciera pública la vulnerabilidad.

La vulnerabilidad de omisión de autenticación, presente en las versiones 9.0.0 a 9.1.1.1 del complemento, se origina por un manejo inadecuado de los errores de verificación de usuario en la función “check_login_and_get_user”. Esto permite que atacantes no autenticados inicien sesión como cualquier usuario, incluidos administradores, cuando la autenticación de dos factores está activada.

Lamentablemente, una de las funciones encargadas de gestionar la autenticación de dos factores se implementó de forma insegura, lo que permite que un atacante no autenticado acceda a cualquier cuenta, incluida la de administrador, mediante una solicitud sencilla cuando esta funcionalidad está habilitada.

El aprovechamiento exitoso de esta vulnerabilidad podría tener consecuencias graves, ya que permitiría a actores malintencionados tomar el control de sitios de WordPress y utilizarlos para actividades ilícitas.

Esta información llega pocos días después de haberse comunicado sobre otra vulnerabilidad crítica en el sistema de gestión de aprendizaje WPLMS para WordPress. La falla, identificada como CVE-2024–10470 con una puntuación CVSS de 9.8, podría permitir a atacantes no autenticados leer y eliminar archivos arbitrarios, lo que potencialmente podría derivar en la ejecución de código malicioso.

Las versiones anteriores a la 4.963 presentan una vulnerabilidad que permite la lectura y eliminación arbitraria de archivos debido a una validación insuficiente de rutas y a comprobaciones de permisos inadecuadas. Esto posibilita que atacantes no autenticados eliminen cualquier archivo en el servidor, incluido el archivo wp-config.php del sitio. Como resultado, el sitio se ve obligado a entrar en un estado de configuración inicial, lo que permite al atacante conectarlo a su propia base de datos y facilitar la toma de control del sitio.

Entre los sitios que podrían estar afectados por esta vulnerabilidad y ser objetivos de posibles ataques se incluyen:

- Gobierno Municipal de Chapala del Estado de Jalisco
- Mujeres con Bienestar del Estado de México
- Alcaldía Cuajimalpa de Morelos de la Ciudad de México
- Secretaría de Cultura del Estado de Guerrero
- Ayuntamiento Constitucional de Jilotepec del Estado de México
- Gobierno del Estado de Oaxaca
- Municipio de San Pedro Yolox del Estado de Oaxaca
- Municipio de Tianguistenco del Estado de México
- Comisión Mexicana de Filmaciones
- Organismo Operador Municipal de Agua Potable, Alcantarillado y Saneamiento del Municipio de Cajeme del Estado de Sonora
- Ayuntamiento de Atlacomulco del Estado de México
- Instituto de la Educación Básica del Estado de Morelos
- Municipio de Sahuaripa del Estado de Sonora
- Municipio de Singuilucan del Estado de Hidalgo
- Fideicomiso de Obras por Cooperación del Gobierno Municipal de León del Estado de Guanajuato
- Intranet del Gobierno del Estado de Veracruz
- Servicios de Salud Jalisco
- Presidencia Municipal de Pachuca del Estado de Hidalgo

Para más información, visite: https://www.silikn.com/