threatover Patrik Grobshäuser

CVE-2024-9707 · CVE-2024-11972 · INSTALACIÓN DE PLUGIN → RCE

Hunk Companion exploit cleanup.

Un fallo de autorización en Hunk Companion permitía a atacantes no autenticados instalar plugins desde el repositorio de WordPress.org. Combinado con el plugin WP Query Console sin parchear, resulta en RCE completo. Explotación intensa a finales de 2024. Tarifa plana $279 para limpiarlo. Identificamos la persistencia, eliminamos el plugin de segunda etapa y hacemos hardening.

EN QUÉ CONSISTÍA LA CADENA

Un bug para instalar un plugin. Otro bug en el plugin instalado.

Etapa 1. Hunk Companion exponía una ruta REST que instalaba plugins sin comprobar autorización. Afectadas versiones anteriores a 1.9.0; el mismo problema fue redescubierto en el rango 1.8.5–1.8.6, lo que generó dos identificadores CVE (CVE-2024-9707 y CVE-2024-11972).

Etapa 2. Los atacantes usaron la Etapa 1 para instalar WP Query Console, un plugin abandonado desde hace mucho con un RCE no autenticado (CVE-2024-50498) que nunca iba a ser parcheado porque el plugin no tenía mantenedor. Con WP Query Console instalado, sobrevino la ejecución remota de código completa.

INDICADORES

Qué hacemos con ello

  • PRESENCIA DE PLUGIN

    wp-content/plugins/wp-query-console/ — incluso una carpeta vacía es un indicador de impacto. Comprueba si estaba activo en wp_options.active_plugins.

  • ACCESS LOG

    POSTs a /wp-json/hc/v1/themehunk-import (endpoint de instalación de Hunk Companion) desde IPs externas, en octubre–diciembre de 2024.

  • USUARIOS ADMIN

    Administradores creados tras el RCE de la Etapa 2 — frecuentemente con nombres genéricos, a veces ya con un secreto 2FA para dejar fuera al propietario legítimo.

  • ARCHIVOS

    PHP recién creado en uploads, PHP de core o tema modificado, nuevos mu-plugins.

Precios

Cleanup

$279

flat, one-time, per site

Manual cleanup, entry-vector identification, written forensic report.

Iniciar limpieza

Monitoring

$29 / mo

per site, cancel any time

Monitorización continua, endurecimiento, una limpieza al año incluida.

Protégete

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Ver todos los servicios →

Correo [email protected] or use the contact form.