Vulnerabilidad crítica en plugin Jetpack afecta a millones de sitios web de WordPress

De nueva cuenta han aparecido reportes sobre fallas de seguridad que podrían afectar a los millones de usuarios de WordPress, el más popular sistema de gestión de contenido (CMS). Acorde a especialistas en seguridad de aplicaciones web, se ha reportado la presencia de una vulnerabilidad en Jetpack, uno de los plugins de WordPress más utilizados.

Jetpack cuenta con funciones gratuitas de seguridad, rendimiento y administración del sitio web, como análisis anti malware, inicio de sesión seguro, creación de copias de seguridad y medidas contra algunas actividades de hacking, como ataques de fuerza bruta. Se estima que Jetpack, desarrollado por Automattic (empresa matriz de WordPress) cuenta con más de cinco millones de usuarios activos actualmente, por lo que una falla de seguridad explotable tendría un amplio alcance.

Adham Sadaqah, especialista en seguridad de aplicaciones web, descubrió la vulnerabilidad mientras procesaba el código del plugin. Posteriormente reportó la falla a la compañía según los parámetros establecidos por la comunidad de la ciberseguridad.

Hasta ahora no se han revelado mayores detalles técnicos sobre la falla, pues es necesario proteger a los usuarios activos de Jetpack del riesgo de explotación. Por el momento sólo se sabe que la falla afecta a todas las versiones del plugin desde la 5.1. Es importante destacar que no han aparecido evidencias de explotación de esta falla en escenarios reales.

Después de recibir el reporte, Automattic lanzó la actualización de seguridad 7.9.1, aunque especialistas en seguridad de aplicaciones web consideran que es sólo cuestión de tiempo para que un actor de amenazas aplique ingeniería inversa al parche de seguridad y la vulnerabilidad sea explotable de nueva cuenta, por lo que se espera que el equipo encargado de este plugin lance actualizaciones automáticas de forma periódica.

En el sito oficial de WordPress se asegura que más de 4 millones de usuarios de Jetpack ya han implementado esta actualización, además se invita a los usuarios restantes a instalar el parche lo antes posible.

Esta no es la primera ocasión que se descubre una falla de seguridad en Jetpack. Acorde a expertos del Instituto Internacional de Seguridad Cibernética (IICS) los actores de amenazas han desarrollado algunos métodos para instalar plugins con backdoors en sitios de WordPress, exponiendo la seguridad de millones de usuarios.