Recientemente, un evento significativo en el ámbito de la seguridad cibernética ha capturado la atención de expertos y usuarios por igual. Hackers han dirigido su enfoque a un popular plugin de bases de datos de WordPress, afectando potencialmente a más de un millón de sitios web.
Entendiendo el Ataque
Se ha identificado actividad malintencionada dirigida hacia una vulnerabilidad crítica en el plugin 'Better Search Replace' de WordPress. En las últimas 24 horas, investigadores han notado miles de intentos de explotación. Este plugin, utilizado en más de un millón de instalaciones de WordPress, facilita las tareas de búsqueda y sustitución en bases de datos durante el traslado de sitios web a nuevos dominios o servidores.
Permite a los administradores buscar y reemplazar textos específicos en la base de datos, manejar datos serializados y ofrece opciones de sustitución selectivas, soporte para WordPress Multisite y una función de prueba para verificar su correcto funcionamiento. WP Engine, el desarrollador del plugin, lanzó la versión 1.4.5 la semana pasada para corregir una vulnerabilidad crítica de inyección de objetos PHP, identificada como CVE-2023-6933.
Te podrá interesar leer: Identificando vulnerabilidades: El poder de las CVE
La vulnerabilidad surge de la deserialización de entradas no confiables y permite a atacantes no autenticados inyectar objetos PHP. Esto podría resultar en ejecución de código, acceso a datos sensibles, manipulación o borrado de archivos, y podría provocar una denegación de servicio por bucle infinito.
Wordfence, en su rastreador, menciona que Better Search Replace no es vulnerable directamente, pero puede ser explotado si otro plugin o tema del mismo sitio tiene una cadena de Programación Orientada a Propiedades (POP) adecuada.
La posibilidad de explotar vulnerabilidades de inyección de objetos PHP frecuentemente depende de la existencia de una cadena POP que el objeto inyectado pueda utilizar para acciones maliciosas. Los ciberdelincuentes han explotado esta vulnerabilidad, con Wordfence reportando más de 2500 ataques bloqueados dirigidos a CVE-2023-6933 en sus clientes en las últimas 24 horas.
La vulnerabilidad afecta a todas las versiones de Better Search Replace hasta la 1.4.4. Se urge a los usuarios a actualizar a la versión 1.4.5 cuanto antes. En WordPress.org, las estadísticas muestran aproximadamente medio millón de descargas la semana pasada, con un 81% correspondiente a la versión 1.4, aunque no se especifica la versión exacta.
Wordfence informó que inicialmente aplicaron una regla de detección general para identificar la actividad mencionada, lo que llevó a que algunos de los intentos registrados se relacionaran con otras vulnerabilidades, como la CVE-2023-25135. A pesar de esto, la mayoría de los ataques se atribuyen a intentos de explotar la CVE-2023-6933.
Conoce más sobre: Protegiendo tu Sitio Web: Seguridad en WordPress
Conclusión
Este ataque no solo pone en riesgo la seguridad de los datos, sino que también plantea preguntas sobre la confiabilidad de los plugins de terceros en sistemas de gestión de contenido como WordPress. La confianza en la seguridad digital es fundamental para la operatividad de negocios y la confianza del consumidor en línea.
El reciente ataque a un popular plugin de WordPress subraya la necesidad de una vigilancia constante y medidas de seguridad robustas en el mundo digital. Tanto usuarios individuales como empresas deben tomar acciones proactivas para proteger sus datos en línea. Mantener los sistemas actualizados, usar contraseñas seguras, realizar copias de seguridad regulares, y educarse en seguridad cibernética son pasos esenciales para mantenerse a salvo en este entorno digital en constante evolución. Recordemos que en el mundo conectado de hoy, la seguridad en línea es una responsabilidad compartida.