Según datos de Wordfence, se está explotando activamente una vulnerabilidad crítica en el complemento Sneeit Framework para WordPress.
La vulnerabilidad de ejecución remota de código en cuestión es CVE-2025-6389 (Puntuación CVSS: 9,8), que afecta a todas las versiones del complemento anteriores a la 8.3 incluida. Fue parcheado en la versión 8.4, lanzada el 5 de agosto de 2025. El complemento tiene más de 1700 instalaciones activas.
“Esto se debe a que la función (sneeit_articles_pagination_callback()) acepta la entrada del usuario y luego la pasa a través de call_user_func()”, dijo Wordfence. “Esto hace posible que atacantes no autenticados ejecuten código en el servidor que puede explotarse para introducir puertas traseras o, por ejemplo, crear nuevas cuentas de usuario administrativo”.
En otras palabras, la vulnerabilidad se puede explotar para llamar a cualquier función PHP como wp_insert_user() para insertar un usuario administrador malicioso, que un atacante puede usar como arma para tomar el control del sitio web e inyectar código malicioso que puede redirigir a los visitantes del sitio web a otros sitios web inseguros, malware o spam.
Wordfence dijo que la explotación salvaje comenzó el 24 de noviembre de 2025, el mismo día en que se reveló públicamente, y la empresa bloqueó más de 131.000 intentos de atacar la vulnerabilidad. De ellos, sólo en las últimas 24 horas se registraron 15.381 intentos de ataque.
Los esfuerzos incluyen enviar solicitudes HTTP especialmente diseñadas al punto final “/wp-admin/admin-ajax.php” para crear una cuenta de usuario administrador malicioso como “arudikadis” y cargar un archivo PHP malicioso “tijtewmg.php”, que probablemente otorgue acceso de puerta trasera.
Los ataques se originaron desde las siguientes direcciones IP:
- 185,125,50(.)59
- 182.8.226(.)51
- 89.187.175(.)80
- 194.104.147(.)192
- 196.251.100(.)39
- 114.10.116(.)226
- 116.234.108(.)143
La compañía de seguridad de WordPress dijo que también observó archivos PHP maliciosos que tienen capacidades de escaneo de directorios, lectura, edición o eliminación de archivos y sus permisos, y permiten la extracción de archivos ZIP. Estos archivos PHP se denominan “xL.php”, “Canonical.php”, “.a.php” y “simple.php”.
Según Wordfence, el shell “xL.php” se descarga desde otro archivo PHP llamado “up_sf.php”, cuyo objetivo es explotar la vulnerabilidad. También descarga un archivo “.htaccess” desde un servidor externo (“racoonlab(.)top”) al host comprometido.
“Este archivo .htaccess garantiza que se conceda acceso a archivos con extensiones de archivo específicas en los servidores Apache”, dijo István Márton. “Esto es útil en casos donde otros archivos .htaccess prohíben el acceso a scripts, como en los directorios de carga”.
Error de ICTBroadcast explotado para implementar la botnet DDoS “Frost”
La revelación se produce después de que VulnCheck dijera que observó nuevos ataques que explotaban una falla crítica de ICTBroadcast (CVE-2025-2611, puntuación CVSS: 9.3) y apuntaban a sus sistemas honeypot para descargar un script de shell que descarga múltiples versiones específicas de arquitectura de un binario llamado “Frost”.
Se ejecuta cada una de las versiones descargadas, seguido de la eliminación de las cargas útiles y del propio stager para cubrir cualquier rastro de la actividad. El objetivo final de la actividad es realizar ataques distribuidos de denegación de servicio (DDoS) contra objetivos de interés.
“El binario 'Frost' combina herramientas DDoS con lógica esparcidora que incluye catorce exploits para quince CVE”, dijo Jacob Baines de VulnCheck. “Lo importante es cómo se propaga. El operador no bombardea Internet con exploits. 'Frost' comprueba primero el objetivo y sólo procede con la explotación cuando ve los indicadores específicos que espera”.
Por ejemplo, el binario explota CVE-2025-1610 solo después de recibir una respuesta HTTP que contiene “Set-Cookie: usuario=(nulo)” y luego una respuesta de seguimiento a una segunda solicitud que contiene “Set-Cookie: usuario=admin”. Si estos marcadores no están presentes, el binario permanece inactivo y no realiza ninguna acción. Los ataques se lanzan desde la dirección IP 87.121.84(.)52.
Aunque las vulnerabilidades identificadas han sido explotadas por varias botnets DDoS, la evidencia sugiere que los ataques recientes son ataques pequeños y dirigidos, ya que menos de 10.000 sistemas expuestos a Internet son vulnerables a ellos.
“Esto limita el tamaño de una botnet construida sobre estos CVE, lo que convierte a este operador en un actor relativamente pequeño”, dijo Baines. “En particular, el exploit ICTBroadcast que proporcionó este ejemplo no aparece en el binario, lo que sugiere que el operador tiene capacidades adicionales que no son visibles aquí”.
About The Author
