Piratas informáticos han explotado activamente dos vulnerabilidades en Houzez Theme y Houzez Login Register, dos complementos premium para WordPress utilizados principalmente en sitios web de bienes raíces.
Estas vulnerabilidades fueron detectadas y corregidas en el 2022, por el investigador de amenazas Dave Jong de Patchstack, sin embargo, en un nuevo informe emitido por Patchstack se ha detectado que algunos sitios web no han aplicado la actualización de seguridad y están siendo víctimas de estos actores de amenazas activamente.
Actualmente dichas vulnerabilidades están siendo explotadas, registrando una gran cantidad de ataques desde la dirección IP 103.167.93[.]138.
La primera vulnerabilidad de Houzez, identificada como CVE-2023-26540 con un puntaje CVSS de 9.8, considerada como una vulnerabilidad crítica. Esta presenta un error de configuración de seguridad que afecta al complemento Houzez Theme y se puede explotar de forma remota sin necesidad de autenticación, para realizar una escalada de privilegios. Llegando a tomar el control total del sitio web.
Versiones afectadas:
- WordPress Houzez Theme 2.7.1 e inferiores.
Versiones corregidas
- WordPress Houzez Theme 2.7.2 o posteriores.
La segunda vulnerabilidad identificada como CVE-2023-26009 con puntaje CVSS de 9.8, también calificada como crítica, afecta el complemento de registro de inicio de sesión de Houzez (Houzez Login Register) y permite a los atacantes no autenticados realizar una escalada de privilegios en los sitios que utilizan el complemento, incluso podrían tomar control total del sitio web.
Versiones afectadas:
- WordPress Houzez Login Register Plugin 2.6.3 e inferioes.
Versiones corregidas
- WordPress Houzez Login Register Plugin 2.6.4 o posteriores.
Los atacantes explotan estas vulnerabilidades enviando una solicitud al punto final que escucha las solicitudes de creación de cuentas. Debido a un error de verificación de validación en el lado del servidor, la solicitud se puede diseñar para crear un usuario administrador en el sitio, permitiendo a los atacantes tomar el control total del sitio de WordPress.
En los ataques observados por Patchstack, los atacantes cargaron un backdoor capaz de ejecutar comandos, inyectar anuncios en el sitio web o redirigir el tráfico a otros sitios maliciosos.
Recomendaciones
- Los propietarios o administradores de sitios webs que utilicen estos complementos deben aplicar lo antes posible los parches respectivos.
Referencias:
- https://www.bleepingcomputer.com/news/security/critical-flaws-in-wordpress-houzez-theme-exploited-to-hijack-websites/
- https://patchstack.com/database/vulnerability/houzez-login-register/wordpress-houzez-login-register-plugin-2-6-3-privilege-escalation
- https://patchstack.com/database/vulnerability/houzez/wordpress-houzez-theme-2-7-1-privilege-escalation