Los piratas informáticos están explotando activamente una vulnerabilidad de alta gravedad en el popular complemento Elementor Pro WordPress utilizado por más de once millones de sitios web.
Elementor Pro es un complemento de creación de páginas de WordPress que permite a los usuarios crear fácilmente sitios de aspecto profesional sin saber cómo codificar, que incluye arrastrar y soltar, creación de temas, una colección de plantillas, compatibilidad con widgets personalizados y un creador de WooCommerce para tiendas en línea.
Esta vulnerabilidad fue descubierta por el investigador de NinTechNet Jerome Bruandet el 18 de marzo de 2023, quien compartió detalles técnicos esta semana sobre cómo se puede explotar el error cuando se instala junto con WooCommerce.
El problema, que afecta a v3.11.6 y todas las versiones anteriores, permite a los usuarios autenticados, como clientes de tiendas o miembros del sitio, cambiar la configuración del sitio e incluso realizar una adquisición completa del sitio.
El investigador explicó que la falla se refiere a un control de acceso roto en el módulo WooCommerce del complemento ("elementor-pro/modules/woocommerce/module.php"), lo que permite que cualquiera modifique las opciones de WordPress en la base de datos sin la validación adecuada.
La falla se explota a través de una acción AJAX vulnerable, "pro_woocommerce_update_page_option", que adolece de una validación de entrada mal implementada y falta de controles de capacidad.
"Un atacante autenticado puede aprovechar la vulnerabilidad para crear una cuenta de administrador habilitando el registro y configurando el rol predeterminado en "administrador", cambiar la dirección de correo electrónico del administrador o redirigir todo el tráfico a un sitio web malicioso externo cambiando la URL del sitio, entre muchas otras posibilidades". explicó Bruandet en un artículo técnico sobre el error.
Crear una redirección maliciosa (blog.nintechnet.com)
Es importante tener en cuenta que para que se explote la falla en particular, también se debe instalar el complemento WooCommerce en el sitio, que activa el módulo vulnerable correspondiente en Elementor Pro.
Error del complemento de Elementor explotado activamente
La firma de seguridad de WordPress, PatchStack , ahora informa que los piratas informáticos están explotando activamente esta vulnerabilidad del complemento Elementor Pro para redirigir a los visitantes a dominios maliciosos ("away [.] trackersline [.] com") o cargar puertas traseras en el sitio violado.
PatchStack dice que la puerta trasera cargada en estos ataques se llama wp-resortpark.zip, wp-rate.php o lll.zip
Si bien no se proporcionaron muchos detalles sobre estas puertas traseras, se encontró una muestra del archivo lll.zip, que contiene un script PHP que permite a un atacante remoto cargar archivos adicionales al servidor comprometido.
Esta puerta trasera permitiría al atacante obtener acceso completo al sitio de WordPress, ya sea para robar datos o instalar código malicioso adicional.
PatchStack dice que la mayoría de los ataques dirigidos a sitios web vulnerables se originan en las siguientes tres direcciones IP, por lo que se sugiere agregarlas a una lista de bloqueo:
- 193.169.194.63
- 193.169.195.64
- 194.135.30.6
Si su sitio usa Elementor Pro, es imperativo que actualice a la versión 3.11.7 o posterior ( la última disponible es la 3.12.0 ) lo antes posible, ya que los piratas informáticos ya están apuntando a sitios web vulnerables.
La semana pasada, WordPress actualizó a la fuerza el complemento WooCommerce Payments para tiendas en línea para abordar una vulnerabilidad crítica que permitía a los atacantes no autenticados obtener acceso de administrador a sitios vulnerables.
