WPBakery Pague Builder es un maquetador visual para el CMS WordPress que permite crear sitios web sin tener conocimientos de código. Este maquetador cuenta con diferentes plugins, cada uno diseñado para añadir distintas funcionalidades. Uno de estos plugins es Kaswara, que fue abandonado por su desarrollador antes de que lanzara un parche para corregir una vulnerabilidad crítica que se reportó en abril de 2021 y que fue registrada como CVE-2021-24284. Ya en 2021 se registraron ataques intentando aprovechar el fallo para comprometer sitios creados con este CMS, pero recientemente se registró una importante actividad maliciosa buscando sitios web vulnerables a este fallo.
Esta vulnerabilidad en el plugin permite a un atacante subir a sitios WordPress archivos de forma arbitraria y sin autenticación, lo que incluye archivos PHP maliciosos que pueden conducir a la ejecución remota de código y el control total del sitio, o la inyección código JavaScript malicioso.
Según la compañía Wordfence, desarrolladores de un plugin de seguridad para Wordpress, a partir del 4 julio de 2022 comenzaron a detectar una importante actividad de actores intentando explotar este fallo. Concretamente se registraron un promedio de más de 440 mil intentos de ataque diarios, provenientes de más de 10 mil direcciones IP diferentes, apuntando a más de un millón y medio de sitios, lo que incluye ataques a sitios que no tienen instalado este plugin. Igualmente, se estima que existen entre 4.000 y 8.000 sitios WordPress que aún tienen este plugin instalado y que siguen expuestos, por lo que se recomienda desinstalar lo antes posible el complemento y buscar una alternativa, debido a que muy probablemente nunca se lance un parche que corrija la vulnerabilidad.
Vale la pena recordar que los atacantes suelen aprovechar vulnerabilidades en plugins para WordPress y otros gestores de contenidos para comprometer sitios y utilizarlos para realizar otras acciones maliciosas, desde la inyección de un backdoor u otro tipo de malware, para distribuir phishing, para crear páginas de spam o redireccionar a los visitantes a sitios maliciosos. Por eso es importante mantener actualizados a la última versión cada uno de estos complementos que utilizamos para añadir funcionalidades en este popular gestor de contenidos.
Lectura recomendada: 9 formas en que los atacantes utilizan los sitios web comprometidos