Ahora los hackers están explorando activamente versiones vulnerables del plugin ‘Essential Addons for Elementor’ en miles de sitios web de WordPress en escaneos masivos de Internet, intentando aprovechar una grave falla de reinicio de contraseña de cuenta.
La falla de gravedad crítica se identifica como CVE-2023-32243 y afecta a las versiones 5.4.0 a 5.7.1 de Essential Addons for Elementor, lo que permite a atacantes no autenticados restablecer arbitrariamente las contraseñas de las cuentas de administrador y asumir el control de los sitios web.
La falla que afectó a más de un millón de sitios web fue descubierta por PatchStack el 8 de mayo de 2023 y fue solucionada por el proveedor el 11 de mayo con el lanzamiento de la versión 5.7.2 del plugin.
Escalada de explotación
El 14 de mayo de 2023, los investigadores publicaron un exploit de prueba de concepto (PoC) en GitHub, lo que puso la herramienta a disposición de los atacantes de manera amplia.
En ese momento, un lector de BleepingComputer y propietario de un sitio web informó que su sitio fue atacado por hackers que restablecieron la contraseña de administrador aprovechando la falla. Sin embargo, se desconoce la escala de la explotación.
Un informe publicado ayer por Wordfence arroja más luz sobre el tema. La compañía afirma haber observado millones de intentos de sondeo en busca de la presencia del plugin en sitios web y ha bloqueado al menos 6,900 intentos de explotación.
Al día siguiente de la divulgación de la falla, WordFence registró 5,000,000 de escaneos de sondeo en busca del archivo ‘readme.txt’ del plugin, que contiene información sobre la versión del plugin y determina si un sitio es vulnerable.
«Si bien existen servicios que realizan sondeos de datos de instalación con fines legítimos, creemos que estos datos indican que los atacantes comenzaron a buscar sitios vulnerables tan pronto como se reveló la vulnerabilidad», comenta Wordfence en el informe.
La mayoría de estas solicitudes provienen de solo dos direcciones IP: ‘185.496.220.26’ y ‘185.244.175.65’.
En cuanto a los intentos de explotación, la dirección IP ‘78.128.60.112’ tuvo un volumen considerable, utilizando el exploit PoC publicado en GitHub. Otras direcciones IP atacantes con una alta frecuencia cuentan entre 100 y 500 intentos.
Se recomienda a los propietarios de sitios web que utilicen el plugin ‘Essential Addons for Elementor’ que apliquen la actualización de seguridad disponible instalando la versión 5.7.2 o posterior de inmediato.
«Teniendo en cuenta lo fácil que esta vulnerabilidad puede ser explotada con éxito, recomendamos encarecidamente a todos los usuarios del plugin que actualicen lo antes posible para garantizar que su sitio no sea comprometido por esta vulnerabilidad», aconseja Wordfence.
Además, los administradores del sitio web deben utilizar los indicadores de compromiso enumerados en el informe de Wordfence y agregar las direcciones IP ofensivas a una lista de bloqueo para detener estos y futuros ataques.
Los usuarios del paquete de seguridad gratuito de Wordfence estarán protegidos contra CVE-2023-32243 a partir del 20 de junio de 2023, por lo que actualmente también están expuestos.
Fuente: Bill Toulas, bleepingcomputer.com
