Según datos de Wordfence, se está explotando una falla de seguridad crítica en el complemento Sneeit Framework para WordPress.
La vulnerabilidad de ejecución remota de código en cuestión es CVE-2025-6389 (puntuación CVSS: 9,8), que afecta a todas las versiones del complemento anteriores a la 8.3. Parcheado en la versión 8.4 lanzada el 5 de agosto de 2025. Este complemento tiene más de 1700 instalaciones activas.
«Esto se debe a que la función (sneeit_articles_pagination_callback()) acepta la entrada del usuario y la pasa a call_user_func()», dijo Wordfence. «Esto permite que un atacante no autenticado ejecute código en el servidor, que puede usarse para insertar puertas traseras o crear nuevas cuentas de usuario administrativo».
Esto significa que esta vulnerabilidad se puede utilizar para inyectar un usuario administrador malicioso llamando a funciones PHP arbitrarias como wp_insert_user(). Luego, los atacantes pueden utilizarlo como arma para tomar el control de su sitio e inyectar código malicioso que redirija a los visitantes del sitio a otros sitios peligrosos, malware o spam.
Según Wordfence, la explotación real comenzó el 24 de noviembre de 2025, el día de la publicación, y la empresa ha bloqueado más de 131.000 intentos dirigidos a la falla. De ellos, sólo en las últimas 24 horas se registraron 15.381 intentos de ataque.
Los esfuerzos incluyen enviar solicitudes HTTP especialmente diseñadas al punto final ‘/wp-admin/admin-ajax.php’ para crear cuentas de usuario de administrador maliciosas como ‘arudikadis’ y cargar un archivo PHP malicioso ‘tijtewmg.php’ que potencialmente podría permitir el acceso por puerta trasera.
El ataque se originó desde la siguiente dirección IP:
185.125.50(.)59 182.8.226(.)51 89.187.175(.)80 194.104.147(.)192 196.251.100(.)39 114.10.116(.)226 116.234.108(.)143
La firma de seguridad de WordPress dijo que también observó un archivo PHP malicioso con permisos para escanear directorios, leer, editar y eliminar archivos, y extraer archivos ZIP. Estos archivos PHP se denominan «xL.php», «Canonical.php», «.a.php» y «simple.php».
Según Wordfence, el shell «xL.php» se descarga mediante otro archivo PHP llamado «up_sf.php» que está diseñado para explotar esta vulnerabilidad. También descarga un archivo «.htaccess» desde un servidor externo («racoonlab(.)top») al host comprometido.
«Este archivo .htaccess garantiza que se permita el acceso a archivos con una extensión de archivo específica en el servidor Apache», dice István Marton. «Esto es útil si el acceso al script está prohibido por otros archivos .htaccess, como en el directorio de carga».
Se explotan fallos en la transmisión de TIC para generar la botnet DDoS ‘Frost’
Esta divulgación se produce después de que VulnCheck anunciara que había observado un nuevo ataque que explota una falla crítica en ICTBroadcast (CVE-2025-2611, puntuación CVSS: 9.3) dirigido a sistemas honeypot para descargar un script de shell que descarga múltiples versiones específicas de arquitectura de un binario llamado «frost».
Después de ejecutar cada versión descargada, la carga útil y el propio stager se eliminan para ocultar cualquier rastro de la actividad. El objetivo final de esta actividad es realizar un ataque de denegación de servicio distribuido (DDoS) contra el objetivo previsto.
«El binario ‘frost’ combina lógica esparcidora y herramientas DDoS, incluidos 14 exploits contra 15 CVE», dijo Jacob Baines de VulnCheck. «Lo que importa es cómo se propaga. Los operadores no están bombardeando Internet con exploits. ‘Frost’ comprueba primero el objetivo y sólo procede con el exploit si encuentra ciertos indicadores que espera».
Por ejemplo, este binario explota CVE-2025-1610 solo después de recibir una respuesta HTTP que contiene «Set-Cookie: usuario=(null)» y luego una respuesta posterior a una segunda solicitud que contiene «Set-Cookie: usuario=admin». Si estos marcadores no están presentes, el binario permanece inactivo y no hace nada. El ataque comienza desde la dirección IP 87.121.84(.)52.
Aunque las vulnerabilidades identificadas han sido explotadas por una variedad de botnets DDoS, la evidencia sugiere que los últimos ataques son ataques dirigidos a pequeña escala, dado que menos de 10,000 sistemas se ven afectados por las vulnerabilidades expuestas en Internet.
«Esto limita el tamaño de las botnets construidas sobre estos CVE, lo que convierte a este operador en un actor relativamente pequeño», dijo Baines. «En particular, el exploit ICTBroadcast que entregó esta muestra no aparece en el binario, lo que indica que el operador tiene capacidades adicionales que no se muestran aquí».
Source link
