Cada vez son más frecuentes las explotaciones de días cero en grandes y pequeñas empresas o plataformas, esta vez, la víctima fue WordPress con un fallo de día cero en un plugin llamado BackupBuddy ha sido explotado activamente, según lo reveló la empresa de seguridad de WordPress, Wordfence. Los ciberdelincuentes lograron ejecutar su cometido luego de haberlo intentado 5 millones de veces.
"Esta vulnerabilidad hace posible que usuarios no autentificados descarguen archivos arbitrarios del sitio afectado, que pueden incluir información sensible", indicó el grupo de seguridad de WordPress.
BackupBuddy permite a los usuarios hacer una copia de seguridad de toda su instalación de WordPress desde el panel de control, incluyendo archivos de temas, páginas, entradas, widgets, usuarios y archivos multimedia, entre otros.
Se estima que el plugin tiene unas 140.000 instalaciones activas, y que el fallo (CVE-2022-31474, puntuación CVSS: 7,5) afecta a las versiones 8.5.8.0 a 8.7.4.1. Se ha solucionado en la versión 8.7.5 publicada el 2 de septiembre de 2022.
El problema tiene su origen en la función denominada "Copia de directorio local", diseñada para almacenar una copia local de las copias de seguridad. Según Wordfence, la vulnerabilidad es el resultado de la implementación insegura, que permite a un actor de amenaza no autenticado descargar cualquier archivo arbitrario en el servidor.
"Esta vulnerabilidad podría permitir a un atacante ver el contenido de cualquier archivo en su servidor que pueda ser leído por su instalación de WordPress", dijo el desarrollador del plugin, iThemes. "Esto podría incluir el archivo wp-config.php de WordPress y, dependiendo de la configuración de su servidor, archivos sensibles como /etc/passwd".
Wordfence señaló que el objetivo de CVE-2022-31474 comenzó el 26 de agosto de 2022, y que ha bloqueado casi cinco millones de ataques en el período de tiempo transcurrido. La mayoría de las intrusiones han intentado leer los siguientes archivos:
/etc/passwd
/wp-config.php
.my.cnf
.accesshash
Por tal motivo, han recomendado a los usuarios del plugin BackupBuddy que actualicen a la última versión. Si los usuarios consideran que pudieron haber sido comprometidos, se recomienda restablecer la contraseña de la base de datos, cambiar las sales de WordPress y rotar las claves API almacenadas en wp-config.php.