Los piratas informáticos están explotando activamente una vulnerabilidad parcheada recientemente en el complemento de campos personalizados avanzados de WordPress, aproximadamente 24 horas después del lanzamiento de un exploit de prueba de concepto (PoC).
La vulnerabilidad en cuestión es CVE-2023-30777, una falla de secuencias de comandos en sitios cruzados (XSS) reflejada de alto nivel que permite a los atacantes no autenticados robar información confidencial y aumentar sus privilegios en los sitios de WordPress afectados.
La falla fue descubierta por la empresa de seguridad de sitios web Patchstack el 2 de mayo de 2023 y divulgada junto con un exploit de prueba de concepto el 5 de mayo, un día después de que el proveedor del complemento lanzara una actualización de seguridad versión 6.1.6.
Como se informó ayer, Akamai Security Intelligence Group (SIG) observó una actividad significativa de exploración y explotación a partir del 6 de mayo de 2023 utilizando el código de muestra proporcionado en la publicación de la pila de parches.
«Akamai SIG analizó los datos del ataque XSS e identificó los ataques que comenzaron dentro de las 24 horas posteriores al lanzamiento del exploit PoC», afirma el informe.
«Lo que es particularmente interesante de esto es la consulta en sí misma: el actor de amenazas copió y usó el código de la pila de parches de muestra de la publicación».
Intentos de explotación por parte de un solo actor de amenazas (akamai)
Teniendo en cuenta que más de 1,4 millones de sitios web que utilizan el complemento de WordPress afectado no se han actualizado a la última versión, según las estadísticas de wordpress.org, los atacantes tienen una superficie de ataque bastante grande.
El error XSS requiere la participación de un usuario que haya iniciado sesión y tenga acceso al complemento para ejecutar un código malicioso en su navegador que otorga a los atacantes un acceso altamente privilegiado al sitio web.
Los escaneos maliciosos muestran que este factor de mitigación de daños no desalienta a los actores de amenazas que confían en que pueden derrotarlo mediante trucos simples e ingeniería social.
Además, el exploit funciona con las configuraciones predeterminadas de las versiones de los complementos afectados, lo que aumenta las posibilidades de éxito de los actores de amenazas sin requerir ningún esfuerzo adicional.
Se insta a los administradores del sitio de WordPress que utilizan los complementos vulnerables a aplicar el parche disponible de inmediato para protegerse contra las actividades de exploración y explotación en curso.
La acción recomendada es actualizar los complementos de campos personalizados avanzados gratuitos y profesionales a la versión 5.12.6 (retroalimentada) y 6.1.6.
