El 6 de mayo de 2020 se recibió el informe de explotación activa de vulnerabilidades de dos plugins relacionados, Elementor Pro y Ultimate Addons. Al tratarse de un ataque que se ha vuelto efectivo, nuestra prioridad ha sido alertarlos para que puedan tomar las siguientes medidas para tu sitio. Se debe limitar de forma intencionada la cantidad de información que se proporciona en esta publicación debido a que se trata de un ataque continuo a la vulnerabilidad más crítica que hasta el momento no se ha parchado.
Índice
¿Que plugins se ven afectados por este ataque?
Existen dos plugins que están viéndose afectados por este ataque. El primero de ellos es Elementor Pro, el cual ha sido fabricado por Elementor.
El segundo plugin afectado es Ultimate Addons, siendo creado por Brainstorm Force. Las vulnerabilidades de este complemento han ayudado a explotar la vulnerabilidad de Elementor Pro, inclusive si el sitio web no tiene habilitado el registro de usuario.
Elementor Pro y Ultimate Addons
Este ataque no está afectando al plugin gratuito Elementor el cual cuenta con al menos 4 millones de instalaciones disponibles y que puedes conseguir en el repertorio de plugins de WordPress. El complemento Elementor Pro funciona como una descarga separada que puedes adquirir directamente en el sitio web oficial de Elementor. Se estima que Elementor Pro cuenta con al menos 1 millón de instalaciones activas.
La vulnerabilidad con la que cuenta Elementor Pro ha sido considerada de bastante gravedad, ya que permite que los usuarios registrados puedan cargar archivos de forma arbitraria que conducen a la ejecución remota de código.
Un atacante que sea capaz de ejecutar código de forma remota en tu sitio podrá instalar una puerta trasera para mantener el acceso. De esta forma puede obtener acceso como administrador al sitio de WordPress o teniendo la posibilidad de eliminar por completo tú sitio. Hasta el momento, la vulnerabilidad no se ha corregido, por lo que se incluye información adicional para actuar en este caso.
El plugin Ultimate Addons for Elementor se parcheo recientemente por una vulnerabilidad en la versión 1.24.2 que permite a los atacantes generar un usuario a nivel de suscriptor, aun así, si el registro se encuentra deshabilitado en un sitio de WordPress.
Se emplean dos vulnerabilidades para atacar sitios web
Los atacantes pueden dirigirse a las vulnerabilidades de Elementor Pro en sitios con registro de usuario abierto.
Si se da el caso de que un sitio no tenga habilitado el registro de usuarios, los atacantes podrán utilizar la vulnerabilidad de Ultimate Addons for Elementor en sitios no parchados para registrarse como suscriptores. Luego procederán a utilizar estas cuentas registradas para aprovechar las vulnerabilidades de Elementor Pro y realizar la ejecución remota de código.
¿Que hacer frente a esto?
Lo más importante es actualizar Ultimate Addons for Elementor de forma inmediata. Debes asegurarte de que la versión de tu plugin sea la 1.24.2 o mayor a ella.
Debes bajar la versión gratuita de Elementor hasta que se libere Elementor Pro. Puedes dirigirte a tu sección de plugins de WordPress y desactivar la versión Elementor Pro y eliminarlo de tu sitio. Con ello estarás eliminando cualquier tipo de vulnerabilidad de carga de archivos.
Cuando sea lanzado el parche, podrás volver a instalar la versión parche de Elementor Pro en tu sitio web y recuperar todas las funcionalidades que has perdido. Puede que pierdas de forma temporal algunos elementos de diseño, pero cuando vuelvas a instalar Elementor Pro, podrás recuperarlas. Por otro lado, es importante realizar una copia de seguridad antes de iniciar todo este proceso.
Importante: puedes tener acceso a una lista donde tienes instalado Elementor Pro, inicia sesión con tu cuenta de Elementor.com y dirígete a la sección de “Compras” y luego haz clic en la opción “Ver sitio web” para obtener una lista completa de Elementor Pro donde se encuentra instalado con su licencia.
Debes verificar si existen usuarios desconocidos a nivel de suscriptor. Esto puede indicar que tu sitio ha estado comprometido como parte de esta campaña. De ser así, deberás eliminar esas cuentas.
También se debe verificar los archivos “wp-xmlrpc.php”. Estos elementos pueden considerarse como una indicación de compromiso, por ello debes revisar tu sitio y observar si existe alguna evidencia de estos archivos.
Es importante eliminar las carpetas o archivos desconocidos que se encuentran en el directorio / wp-content / uploads / elementor / custom-icons /. Si se ha creado una cuenta falsa, verás archivos ubicados aquí de nivel de suscriptor.
Fuente: Wordfence.com
