[16/05/2023] Los actores de amenazas han comenzado a explotar una vulnerabilidad recientemente revelada en WordPress, en las 24 horas posteriores a la publicación del exploit de prueba de concepto (PoC) por parte de la empresa, según un blog de Akamai.
La vulnerabilidad de alta gravedad -CVE-2023-30777, que afecta al plugin WordPress Advanced Custom Fields- fue identificada por un investigador de Patchstack el 2 de mayo.
La explotación de la vulnerabilidad conduce a un ataque de secuencias de comandos en sitios cruzados (XSS) en el que un actor de amenaza puede inyectar secuencias de comandos maliciosas, redirecciones, anuncios y otras formas de manipulación de URL en un sitio víctima. Esto podría, a su vez, empujar esos scripts ilegítimos a los visitantes de ese sitio afectado. El plugin tiene más de dos millones de usuarios activos en todo el mundo.
"Esta vulnerabilidad permite a cualquier usuario no autenticado desde robar información sensible hasta, en este caso, escalar privilegios en el sitio WordPress engañando a usuarios con privilegios para que visiten la ruta URL manipulada". La vulnerabilidad descrita se solucionó en la versión 6.1.6, también solucionada en la versión 5.12.6", señaló Patchstack en un informe detallado el 5 de mayo que incluía un ejemplo de carga útil.
Los investigadores de seguridad de Akamai han descubierto ahora que se ha producido un importante intento de ataque en las 48 horas posteriores a la publicación del código de muestra. Los actores de la amenaza han utilizado la muestra para buscar sitios Web vulnerables que no hayan aplicado el parche o actualizado a la última versión.
El tiempo de respuesta de los atacantes disminuye rápidamente
La observación pone de relieve que el tiempo de respuesta de los atacantes está disminuyendo rápidamente, lo que aumenta la necesidad de una gestión de parches enérgica y rápida, anotó Akamai en el blog.
"En las horas siguientes al anuncio por parte de la empresa de la vulnerabilidad y el parche asociado, observamos un aumento de la actividad XSS. Una, en particular, destacó: la propia consulta PoC", sostuvo Akamai.
En las 48 horas inmediatamente posteriores a la publicación de los detalles, Akamai observó una cantidad significativa de actividad de exploración. Esto coincide con la actividad de los atacantes observada también en otras vulnerabilidades de día cero.
"Es habitual que los investigadores de seguridad, los aficionados y las empresas que buscan su perfil de riesgo examinen las nuevas vulnerabilidades cuando se publican. Sin embargo, el volumen está aumentando, y el tiempo que transcurre entre la publicación y dicho aumento está disminuyendo drásticamente", afirmó Akamai. Los ataques comenzaron 24 horas después de que se hiciera público el POC.
El actor de la amenaza copió y utilizó el código de muestra
En la actividad monitorizada por Akamai, el actor de la amenaza copió y utilizó el código de muestra de Patchstack del escrito. Esta actividad se llevó a cabo en todas las verticales.
"Esta amplitud de la actividad y la falta total de esfuerzo para crear un nuevo código de explotación nos indica que el actor de la amenaza no es sofisticado. El actor estaba buscando sitios vulnerables e intentando explotar un objetivo fácil", sostuvo Akamai.
Esto demuestra la importancia de la gestión de parches y la rápida aplicación de los mismos para garantizar la seguridad. "Como se demostró aquí, la tasa de explotación de vulnerabilidades emergentes y recientemente reveladas sigue siendo alta, y es cada vez más rápida", indicó Akamai, añadiendo que esto pone de relieve la necesidad de herramientas adecuadas para proporcionar visibilidad en tiempo real y opciones de mitigación para este tipo de ataques.
Las vulnerabilidades antiguas sin parchear facilitan el acceso a los atacantes
Este caso demuestra la velocidad a la que los atacantes intentan explotar vulnerabilidades no parcheadas. Vulnerabilidades conocidas tan antiguas como el 2017 siguen siendo explotadas con éxito en ataques de gran alcance, ya que las organizaciones no logran parchearlas o remediarlas con éxito, según Tenable.
Los actores de amenazas patrocinadas por el Estado también utilizaron las vulnerabilidades conocidas para obtener acceso inicial a las organizaciones gubernamentales e interrumpir la infraestructura crítica, anotó Tenable. La empresa de seguridad aconsejó que las organizaciones se centraran en medidas preventivas de ciberseguridad en lugar de medidas reactivas de ciberseguridad posteriores a un suceso para mitigar el riesgo. Deben aplicarse actualizaciones y parches con regularidad.
Basado en el artículo de Apurva Venkat (CSO) y editado por CIO Perú