Los piratas informáticos ahora están buscando activamente Complementos esenciales vulnerables para versiones de complementos de Elementor en miles de sitios de WordPress en extensos escaneos web, tratando de explotar un error crítico de restablecimiento de contraseña de cuenta que se expuso a principios de este mes.
El error de gravedad crítica se rastrea como CVE-2023-32243 y afecta a los complementos esenciales para las versiones 5.4.0 a 5.7.1 de Elementor, lo que permite a los atacantes no autenticados restablecer arbitrariamente las contraseñas de las cuentas de administrador y tomar el control de los sitios web.
El error, que afectó a más de un millón de sitios web, fue descubierto por PatchStack el 8 de mayo de 2023 y corregido por el proveedor el 11 de mayo con el lanzamiento de la versión 5.7.2 del complemento.
grado de explotación
El 14 de mayo de 2023, los investigadores lanzaron un exploit de prueba de concepto (PoC) en GitHub, lo que hizo que la herramienta estuviera ampliamente disponible para los atacantes.
En ese momento, un lector de Bleeping Computer y propietario de un sitio web informó que su sitio web fue atacado por piratas informáticos que restablecieron las contraseñas del administrador al explotar la vulnerabilidad. Sin embargo, se desconocía el alcance de la explotación.
Un informe de Wordfence publicado ayer arroja más luz: la empresa afirma haber observado millones de intentos de sondear la presencia del complemento en sitios web y ha bloqueado al menos 6.900 intentos de explotación.
El día después de que se revelara el error, WordFence registró 5 000 000 de escaneos de sondeo para buscar el archivo «readme.txt» del complemento, que contiene la información de la versión del complemento y, por lo tanto, determina si un sitio web es vulnerable.
Número de escaneos diarios registrados (valla de palabras)
«Aunque hay servicios que examinan los datos de instalación con fines legítimos, creemos que estos datos indican que los atacantes comenzaron a buscar sitios web vulnerables tan pronto como se conoció la vulnerabilidad», comenta Wordfence en el informe.
La mayoría de estas solicitudes provenían de solo dos direcciones IP, «185.496.220.26» y «185.244.175.65».
En cuanto a los intentos de explotación, la dirección IP «78.128.60.112» tuvo un volumen significativo y utilizó la explotación PoC publicada en GitHub. Otras IP de ataque de alto nivel cuentan entre 100 y 500 intentos.
Origen de la mayoría de los intentos de explotación (valla de palabras)
Se recomienda a los propietarios de sitios web que utilizan el complemento Complementos esenciales para Elementor que instalen la actualización de seguridad disponible instalando la versión 5.7.2 o posterior de inmediato.
«Dado lo fácil que es explotar con éxito esta vulnerabilidad, recomendamos encarecidamente a todos los usuarios del complemento que actualicen lo antes posible para asegurarse de que su sitio web no se vea comprometido por esta vulnerabilidad», aconseja Wordfence.
Además, los administradores de sitios web deben aprovechar los indicadores de compromiso enumerados en el informe de Wordfence y bloquear las direcciones IP infractoras para detener este y futuros ataques.
Los usuarios del paquete de seguridad gratuito de Wordfence estarán protegidos contra CVE-2023-32243 a partir del 20 de junio de 2023, por lo que actualmente también están en riesgo.
