Sistemas CMS bajo ataque para instalar webshells y robar credenciales

Una campaña de explotación de vulnerabilides en sistemas de gestión de contenidos (CMS) está ocurriendo en todo el mundo, afectando a las empresas que usan el CMS para la gestión de sus sitios web. Las vulnerabilidades afectan el software y los complementos del CMS.

Los sitios web están siendo escaneados por los ciberdelincuentes para identificar si el sitio web usa un CMS vulnerable y de serlo, tratan de implementar webshells, un script o fragmento de código malicioso, que funciona como una puerta trasera permanente (backdoor), lo que permite a los ciberdelincuentes ejecutar comandos, manipular archivos y administrar el servidor de forma remota directamente desde un navegador web.

A diferencia de los ataques del pasado, que sólo buscaban dañar la estética del sitio, en esta ocasión los atacantes usan la webshell para acceder y controlar de forma remota servidores web específicos y aprovecharlos para varios propósitos, entre ellos:

  • Desfiguración o interrupción del sitio web
  • Capturar credenciales ingresadas por usuarios del sitio web u otros datos almacenados en servidores web
  • Cargar malware adicional para apuntar y estafar a usuarios legítimos del sitio web
  • Utilizar el acceso al servidor web como vía para lograr un compromiso más amplio de la red del negocio

Software y complementos afectados

Software/plugin CVE
Simple File List (WordPress) CVE-2025-34085/CVE-2020-36847
WavePlayer (WordPress) CVE-2025-12057
BerqWP (WordPress) CVE-2025-7443
WPBookit (WordPress) CVE-2025-7852
Ninja Forms (WordPress) CVE-2026-0740
ThemeREX Addons (WordPress) CVE-2026-1969
Breeze Cache (WordPress) CVE-2026-3844
pay-uz (WordPress) CVE-2026-31843
ACF Extended (WordPress) CVE-2025-13486
Sneeit Framework CVE-2025-6389
WPvivid Backup (WordPress) CVE-2026-1357
Gravity Forms (WordPress) CVE-2025-12352
GutenKit/Hunk Companion (WordPress) Probablemente CVE-2024-9234
Craft CMS CVE-2025-32432
MaxSite CMS CVE-2026-3395
MetInfo CMS CVE-2026-29014
Joomla JCE CVE-2026-48907

Recomendaciones

A los administradores de sitios web, el Centro Australiano de Seguridad Cibernética de la Dirección de Señales de Australia (ACSC de ASD) recomienda:

  1. Inspeccione su CMS en busca de webshells.
  2. Examine sus registros de acceso web en busca de direcciones IP que realicen solicitudes GET o POST a cualquier ruta de webshell.
  3. Aísle los servidores web comprometidos, y realice una auditoría de autenticación y registro de red para detectar eventos maliciosos y conexiones de red.
  4. Rastree cualquier solicitud web sospechosa que pueda constituir la explotación e implementación inicial de cualquier webshell.
  5. Revise los registros de red para detectar interacciones con cualquiera de las direcciones IP identificadas que se ven comunicándose con los webshells.
  6. Investigue el registro y los hosts en busca de evidencia de persistencia, movimiento lateral u otras acciones maliciosas. Esto puede incluir la creación de cuentas adicionales, intentos de exfiltración o la implementación de malware.
  7. Parchee los sistemas vulnerables para evitar la reinfección.
  8. En caso de sitios web comprometidos, restaure a partir de una copia de seguridad reciente y conocida.

Proteja su sitio web

  1. Asegúrese de que el software y complementos del sitio web estén actualizados.
  2. Monitoree o bloquee la creación de archivos.
  3. Restrinja el acceso a archivos y directorios.
  4. Monitoree nuevos procesos.
  5. Bloquee la comunicación de red innecesaria entre sitios web orientados a Internet y otros dispositivos informáticos corporativos.

 

Deja una respuesta