Los piratas informáticos están explotando una vulnerabilidad crítica en el complemento “Hunk Companion” para instalar y activar otros complementos con vulnerabilidades explotables directamente desde el repositorio de WordPress.org.
Al instalar complementos obsoletos con vulnerabilidades conocidas con exploits disponibles, los atacantes pueden acceder a un gran conjunto de vulnerabilidades que conducen a la ejecución remota de código (RCE), inyección SQL, vulnerabilidades de secuencias de comandos entre sitios (XSS) o la creación de cuentas de administrador de puerta trasera.
La actividad fue descubierta por WPScan, que la informó a Hunk Companion, con una actualización de seguridad que parcheó la falla de día cero publicada ayer.
Instalación de complementos vulnerables
Hunk Companion es un complemento de WordPress diseñado para complementar y mejorar la funcionalidad de los temas desarrollados por ThemeHunk, un proveedor de temas de WordPress personalizables, por lo que es más un complemento que un complemento independiente.
Según las estadísticas de WordPress.org, Hunk Companion es utilizado actualmente por más de 10.000 sitios de WordPress, por lo que es una herramienta relativamente especializada en este campo.
La vulnerabilidad crítica fue descubierta por el investigador de WPScan Daniel Rodríguez y está siendo rastreada como CVE-2024-11972. La falla permite la instalación arbitraria de complementos mediante solicitudes POST no autenticadas.
El problema afecta a todas las versiones de Hunk Companion antes de la última versión 1.9.0, lanzada ayer, que solucionó el problema.
Mientras investigaba una infección de un sitio de WordPress, WPScan descubrió una explotación activa de CVE-2024-11972 para instalar una versión vulnerable de Consola de consultas de WP.
Este es un complemento oscuro actualizado por última vez hace más de 7 años, que los piratas informáticos aprovecharon para ejecutar código PHP malicioso en sitios específicos, aprovechando la falla de día cero de RCE. CVE-2024-50498.
«En las infecciones que analizamos, los atacantes utilizan RCE para escribir un gotero PHP en el directorio raíz del sitio». explica WPScan.
«Este cuentagotas permite descargas continuas no autenticadas a través de solicitudes GET, lo que permite un acceso persistente al sitio por la puerta trasera».
Cabe señalar que Hunk Companion solucionó una falla similar en la versión 1.8.5, que fue rastreada en CVE-2024-9707pero aparentemente la solución no fue adecuada y hay formas de solucionarlo.
Dada la gravedad de la falla y su estado de explotación activa, se recomienda a los usuarios de Hunk Companion que actualicen a la versión 1.9.0 lo antes posible.
Al momento de escribir este artículo, la última versión era descargado aproximadamente 1.800 vecespor lo tanto, al menos ocho mil sitios web siguen siendo vulnerables a la explotación.
