Detección de CVE-2023-4634: Vulnerabilidad RCE no autenticada en el plugin Assistant de la Biblioteca de Medios de WordPress
Tabla de contenidos:
Los investigadores de seguridad han emitido una fuerte advertencia sobre una vulnerabilidad crítica, designada como CVE-2023-4634, que está afectando a un alarmante número de más de 70,000 sitios de WordPress a nivel mundial. Esta vulnerabilidad se origina a partir de una falla de seguridad en el complemento WordPress Media Library Assistant, un complemento extremadamente popular y ampliamente utilizado dentro de la comunidad de WordPress. Con esta vulnerabilidad ya siendo explotada en la naturaleza y la disponibilidad de un exploit de prueba de concepto, el riesgo de intensificación y propagación de los ataques en todo el ecosistema de WordPress se vuelve aún más preocupante.
Detectar Intentos de Explotación de CVE-2023-463
Detección proactiva de explotación de vulnerabilidades sigue siendo uno de los casos de uso de seguridad más relevantes debido al creciente número de CVEs que afectan a software popular, lo cual plantea serios desafíos a las organizaciones que utilizan estos productos y requiere la atención de los defensores. El recién descubierto error de seguridad de WordPress rastreado como CVE-2023-4634 está llamando la atención con el exploit de PoC disponible públicamente en GitHub. SOC Prime proporciona a los defensores el flujo más rápido de noticias de seguridad y empodera a las organizaciones progresistas con el contenido de detección más reciente para identificar a tiempo cualquier rastro de ataque.
Para ayudar a los equipos de seguridad a detectar proactivamente intentos de explotación de CVE-2023-4634, la plataforma SOC Prime ha lanzado recientemente una nueva regla Sigma en respuesta a las crecientes amenazas que afectan a los usuarios de WordPress. Siga el enlace a continuación para acceder a la regla Sigma dedicada escrita por nuestro perspicaz desarrollador de Threat Bounty Mustafa Gurkan KARAKAYA:
Esta regla Sigma detecta una posible explotación de RCE no autenticada en WordPress Media Library Assistant enviando una carga maliciosa. El código de detección puede convertirse instantáneamente a 18 tecnologías SIEM, EDR, XDR y Data Lake y está alineado con el MITRE ATT&CK® marco que aborda la táctica de Acceso Inicial y la técnica de Explotación de Aplicaciones Expuestas al Público (T1190) de su arsenal.
Los Ingenieros de Detección aspirantes pueden mejorar sus habilidades Sigma y ATT&CK uniéndose al Programa de Recompensas por Amenazas. Entrena tus habilidades de codificación de detección para avanzar en una carrera de ingeniería mientras enriqueces la experiencia colectiva de la industria y ganas recompensas financieras por tu aporte.
Para navegar por toda la colección de reglas Sigma para la detección de CVE y sumergirse en la inteligencia de amenazas relevante, haga clic en el Explorar Detecciones botón abajo.
Análisis CVE-2023-463
Dada la amplia popularidad de WordPress como sistema de gestión de contenidos (CMS), con millones de sitios web que dependen de él en todo el mundo, vulnerabilidades como las del complemento Media Library Assistant representan un riesgo significativo para las organizaciones en todo el mundo. Los atacantes podrían usar sitios web de WordPress comprometidos como punto de entrada a la red organizacional procediendo con otras actividades maliciosas o utilizar el sitio afectado como plataforma de lanzamiento para la distribución de malware y ataques de phishing.
La vulnerabilidad en el centro de atención es un problema de ejecución remota de código (RCE) no autenticado que surge de controles insuficientes en las rutas de archivos que ocurren durante el procesamiento de imágenes a través de Imagick. Permite a los adversarios suministrar archivos mediante FTP, lo que lleva a la inclusión de archivos locales y ejecución remota de código. Bajo estas condiciones, un atacante podría potencialmente tomar control de cualquier sitio de WordPress sin parchear.
La vulnerabilidad afecta a las versiones del complemento Media Library Assistant anteriores a 3.10 y requiere un servidor con bibliotecas Imagick instaladas para ser explotada. Para un ataque exitoso, Imagick debería depender de configuraciones predeterminadas. Se insta a los administradores del sitio web a instalar el parche de seguridad desde el tablero de WordPress lo antes posible.
El problema ha sido descubierto por expertos en seguridad de Patrowl, quienes ya han publicado un artículo describiendo el fallo de seguridad junto con PoC para proporcionar una comprensión de los niveles de riesgo.
Con el creciente volumen de CVEs activamente explotados en la naturaleza, la detección proactiva de intentos de explotación es crítica para las organizaciones que buscan mejorar su resiliencia cibernética. SOC Prime equipa a los equipos de seguridad con Uncoder AI, un único IDE para Ingeniería de Detección que les permite escribir código de detección impecable con menos esfuerzo y traducirlo automáticamente a 64 lenguajes de consulta — utilizando un producto todo en uno que garantiza una privacidad completa.
