Explotación Activa de RCE Crítica en Plugin de WordPress (CVE-2025-6389)

De acuerdo con telemetría recopilada por Wordfence, se ha identificado una explotación activa y masiva de una vulnerabilidad crítica de ejecución remota de código (RCE) en el plugin Sneeit Framework para WordPress. La vulnerabilidad, catalogada como CVE-2025-6389 (CVSS v3.1: 9.8 – Crítico), afecta a todas las versiones del plugin anteriores a la 8.4. La versión parcheada (8.4) fue publicada el 5 de agosto de 2025. Se estima que el componente tiene más de 1,700 instalaciones activas.

La explotación es posible debido a una falla de seguridad en la función sneeit_articles_pagination_callback(), la cual no realiza una validación adecuada de la entrada de usuario (user input). Esta entrada se pasa directamente a la función call_user_func(), permitiendo a atacantes no autenticados ejecutar código PHP arbitrario en el servidor. El vector de ataque primario documentado consiste en la invocación de funciones del núcleo de WordPress, como wp_insert_user(), para crear cuentas de usuario administrativas maliciosas, lo que facilita el compromiso completo del sitio.

Wordfence reporta que la explotación en entornos de producción comenzó el 24 de noviembre de 2025, coincidiendo con la divulgación pública de la vulnerabilidad. Sus sistemas han mitigado más de 131,000 intentos de explotación, con 15,381 ataques registrados en las últimas 24 horas.

La cadena de ataque implica el envío de solicitudes HTTP manipuladas al endpoint /wp-admin/admin-ajax.php. Las cargas útiles (payloads) observadas tienen como objetivo:

1. Crear una cuenta de administrador con nombre de usuario arudikadis.
2. Cargar un archivo shell PHP malicioso denominado tijtewmg.php, que probablemente funcione como puerta trasera.

Las direcciones IP identificadas como origen de estos ataques son:

• 185.125.50[.]59
• 182.8.226[.]51
• 89.187.175[.]80
• 194.104.147[.]192
• 196.251.100[.]39
• 114.10.116[.]226
• 116.234.108[.]143

Adicionalmente, se han observado otros shells PHP con funcionalidades avanzadas de post-explotación, incluidos xL.php, Canonical.php, .a.php y simple.php. Estos poseen capacidades para realizar escaneo de directorios, manipulación de archivos (lectura, escritura, eliminación, modificación de permisos) y extracción de archivos ZIP. El shell xL.php es descargado mediante un script auxiliar llamado up_sf.php, el cual también recupera un archivo .htaccess desde el dominio racoonlab[.]top. Este archivo .htaccess se configura para anular restricciones de acceso en servidores Apache, permitiendo la ejecución de scripts en directorios normalmente restringidos.

Este informe coincide con análisis de VulnCheck sobre la explotación de otra vulnerabilidad crítica, CVE-2025-2611 (CVSS: 9.3) en sistemas ICTBroadcast. Los atacantes utilizan esta vulnerabilidad para desplegar un script que, a su vez, descarga y ejecuta un binario malicioso multiplataforma denominado «Frost«.

Características del Binario «Frost»:

1. Propagación Selectiva: Incorpora 14 exploits para 15 CVE, pero emplea un mecanismo de comprobación previa. Solo procede con la explotación si el objetivo responde con indicadores específicos, evitando el escaneo indiscriminado.
2. Funcionalidad Dual: Combina capacidades para realizar ataques de denegación de servicio distribuido (DDoS) con rutinas de propagación automática.
3. Persistencia y Ocultación: Tras la ejecución, el stager y las cargas útiles intermedias se autodestruyen (self-delete) para evadir la detección.

Los ataques con «Frost» se han originado desde la IP 87.121.84[.]52. Aunque ambas vulnerabilidades (CVE-2025-6389 y CVE-2025-2611) son explotadas por botnets DDoS, la campaña de ICTBroadcast se considera una operación de menor escala y más selectiva, dado el limitado número de sistemas expuestos (menos de 10,000). Cabe destacar que el exploit para ICTBroadcast no está incluido en el binario «Frost«, lo que sugiere que los actores de la amenaza poseen un arsenal de explotación más amplio del que es visible en esta muestra.

Recomendaciones de Mitigación:

1. Actualización Inmediata: Los administradores de sitios que utilicen Sneeit Framework deben actualizar a la versión 8.4 o superior.
2. Auditoría Post-Compromiso: Revisar registros de auditoría en busca de creaciones de usuarios no autorizados (ej. arudikadis) y la presencia de los archivos maliciosos mencionados.
3. Segmentación y Hardening: Implementar listas de control de acceso (ACLs) y principios de mínimo privilegio para limitar la ejecución de código en directorios sensibles como /wp-admin/.
4. Monitoreo Continuo: Vigilar el tráfico entrante desde las direcciones IP indicadas y monitorizar las respuestas HTTP de los sistemas para detectar comportamientos anómalos.

Más información

• Sneeit WordPress RCE Exploited in the Wild While ICTBroadcast Bug Fuels Frost Botnet Attacks https://thehackernews.com/2025/12/sneeit-wordpress-rce-exploited-in-wild.html
• Sneeit WordPress RCE Exploited in the Wild While ICTBroadcast Bug Fuels Frost Botnet Attacks https://radar.offseq.com/threat/sneeit-wordpress-rce-exploited-in-the-wild-while-i-36d737ba

Acerca de Karina Dudinskikh

Karina Dudinskikh Ha escrito 23 publicaciones.

• View all posts by Karina Dudinskikh →
• Blog