Ciberdelincuentes comprometen 8,7 millones de sitios WordPress en 48 horas, explotando vulnerabilidades críticas en plugins populares

Una gran campaña de explotación de vulnerabilidades se desató sobre sitios WordPress: los atacantes están dirigiendo sus acciones contra recursos donde están instalados los plugins GutenKit y Hunk Companion, vulnerables a fallos críticos que permiten ejecutar código arbitrario en el servidor. La empresa Wordfence, especializada en la protección de WordPress, registró 8,7 millones de intentos de ataque en solo dos días — 8 y 9 de octubre.

En la campaña se explotan tres vulnerabilidades registradas con los números CVE-2024-9234, CVE-2024-9707 y CVE-2024-11972. Todas ellas tienen el nivel de gravedad máximo — CVSS 9.8. La primera, CVE-2024-9234, se encontró en el plugin GutenKit (más de 40 000 instalaciones activas). Un fallo en el endpoint REST permite instalar de forma remota cualquier plugin sin ninguna autorización.

Las otras dos vulnerabilidades — CVE-2024-9707 y CVE-2024-11972 — están presentes en el componente themehunk-import del plugin Hunk Companion, que está instalado en aproximadamente 8 000 sitios. También están relacionadas con la falta de verificación de permisos al acceder al endpoint REST, lo que permite a un atacante instalar un plugin arbitrario, incluido uno con código malicioso. Tras la instalación de la extensión adicional, el atacante obtiene la capacidad de ejecutar comandos arbitrarios en el servidor y lograr la ejecución remota de código (RCE).

La vulnerabilidad CVE-2024-9234 afecta a las versiones de GutenKit 2.1.0 y anteriores. Las fallas CVE-2024-9707 y CVE-2024-11972 se manifiestan en las versiones de Hunk Companion 1.8.4 y 1.8.5 respectivamente, así como en todas las versiones anteriores. Las correcciones se publicaron hace casi un año — en GutenKit 2.1.1 (octubre de 2024) y en Hunk Companion 1.9.0 (diciembre de 2024), sin embargo muchos sitios siguen usando compilaciones antiguas y vulnerables.

Según Wordfence, los atacantes distribuyen en GitHub un archivo malicioso up.zip que contiene un plugin camuflado. Dentro del archivo hay scripts cifrados que permiten subir, eliminar y modificar archivos, así como gestionar permisos de acceso. Uno de los archivos, protegido con contraseña y camuflado como el componente All in One SEO, se utiliza para el inicio de sesión automático del atacante con una cuenta de administrador.

Tras la instalación del plugin, los atacantes obtienen acceso persistente al recurso: pueden subir o exfiltrar datos, ejecutar comandos del sistema y monitorear información privada procesada por el sitio. Si no es posible instalar una puerta trasera completa, se utiliza otro plugin — wp-query-console — que tiene su propia vulnerabilidad que permite ejecutar código arbitrario sin autenticación.

Wordfence publicó una lista de direcciones IP desde las que proviene el flujo principal de solicitudes maliciosas — se pueden usar para configurar filtrado a nivel de servidor. Entre los signos de compromiso, los especialistas recomiendan revisar los registros en busca de solicitudes:

• /wp-json/gutenkit/v1/install-active-plugin
• /wp-json/hc/v1/themehunk-import

También se deben inspeccionar los directorios /up, /background-image-cropper, /ultra-seo-processor-wp, /oke y /wp-query-console: la presencia de archivos desconocidos en ellos puede indicar una intrusión.

No olvidar que la única forma fiable de protección es actualizar regularmente todos los plugins y usar las versiones en las que los desarrolladores han corregido las vulnerabilidades.