Una ofensiva automatizada está apuntando a sitios WordPress a través de fallos críticos en los plugins GutenKit y Hunk Companion. Según Wordfence, su cortafuegos bloqueó 8,7 millones de intentos en 48 horas, un volumen que delata escaneos masivos y explotación a escala para lograr ejecución remota de código (RCE) vía endpoints del REST API mal protegidos.
Vulnerabilidades críticas (CVSS 9.8) y versiones afectadas
La campaña explota tres CVE con puntuación CVSS 9.8: CVE-2024-9234, CVE-2024-9707 y CVE-2024-11972. El vector común es un control de acceso deficiente en el REST API que permite acciones administrativas sin autenticación.
CVE-2024-9234 impacta a GutenKit (≈40.000 instalaciones). Un endpoint no autenticado posibilita instalar plugins arbitrarios. Son vulnerables las versiones ≤ 2.1.0.
CVE-2024-9707 y CVE-2024-11972 afectan al endpoint themehunk-import de Hunk Companion (≈8.000 instalaciones), permitiendo igualmente la instalación de plugins arbitrarios. Están bajo riesgo las versiones ≤ 1.8.4 (CVE-2024-9707) y ≤ 1.8.5 (CVE-2024-11972).
Cadena de ataque: del abuso del REST API a la persistencia con RCE
Tras obtener acceso, los actores descargan desde GitHub un ZIP con un plugin malicioso denominado “up”. Su código ofuscado incluye rutinas para subir/borrar archivos, modificar permisos y ejecutar comandos. Parte del malware se camufla como componente de All in One SEO y autenticate al atacante como administrador mediante una contraseña embebida, consolidando el control del sitio.
Si el vector primario falla, los operadores despliegan el plugin wp-query-console, que proporciona ejecución de código sin autenticación, maximizando la capacidad de pivotar y mantener persistencia en el servidor comprometido.
Indicadores de compromiso (IoC) y qué revisar
Solicitudes REST anómalas en los registros
Revise accesos a /wp-json/gutenkit/v1/install-active-plugin y /wp-json/hc/v1/themehunk-import. Wordfence ha publicado rangos de IP con volúmenes inusuales de intentos, útiles para listas de bloqueo en el WAF y para correlación en SIEM.
Rutas y artefactos sospechosos en el servidor
Busque directorios y archivos anómalos como /up, /background-image-cropper, /ultra-seo-processor-wp, /oke y /wp-query-console. La presencia de PHP o ZIP desconocidos, código ofuscado y tareas cron inesperadas justifican aislamiento inmediato y análisis forense.
Por qué continúan los ataques pese a existir parches
Los parches están disponibles desde hace meses: GutenKit 2.1.1 (octubre de 2024) y Hunk Companion 1.9.0 (diciembre de 2024). Sin embargo, la brecha entre la publicación y la aplicación de parches —el “ventana de exposición”— deja a muchos sitios vulnerables. De acuerdo con OWASP Top 10, la combinación de Broken Access Control y configuraciones débiles acelera la explotación en campañas automatizadas.
Medidas de mitigación recomendadas para WordPress
- Actualizar de inmediato: GutenKit ≥ 2.1.1 y Hunk Companion ≥ 1.9.0. Elimine plugins obsoletos o no utilizados.
- Endurecer el entorno: deshabilite instalación/edición de plugins y temas con DISALLOW_FILE_MODS en wp-config.php; limite el acceso al REST API y aplique el principio de mínimo privilegio.
- WAF y detección: active un WAF con reglas actualizadas, listas de bloqueo y limitación de tasa; monitorice logs y alerte sobre endpoints sensibles.
- Control de integridad: escáneres de malware, verificación de hashes, auditoría de cuentas y rotación de contraseñas y claves SALT.
- Respuesta a incidentes: aislar hosts, realizar forense, reinstalar componentes desde fuentes limpias y revocar tokens y credenciales comprometidas.
La velocidad y el bajo costo de estas campañas —apoyadas en fallos de autorización del REST API y plugins en desuso— exigen reducir al mínimo la ventana de exposición. Actualice hoy, revise sus registros, aplique medidas de endurecimiento y suscríbase a boletines de seguridad de proveedores y del ecosistema WordPress para anticiparse al próximo ciclo de explotación.
