Sneeit WordPress RCE e ICTBroadcast: fallas críticas impulsan ataques de la botnet Frost

Expertos de Wordfence confirmaron la explotación activa de dos vulnerabilidades graves. La primera afecta al complemento Sneeit Framework para WordPress y permite ejecución remota de código sin autenticación. La segunda corresponde a la plataforma ICTBroadcast y está siendo utilizada para instalar el botnet conocido como Frost. Ambas vulnerabilidades están siendo aprovechadas en campañas automatizadas a nivel mundial.

Explotación del complemento Sneeit Framework

La falla en Sneeit afecta a todas las versiones anteriores a la actualización 8 punto 4 publicada el 5 de agosto de 2025. Este error permite que un atacante obtenga control total del sitio al generar cuentas administrativas falsas mediante una llamada interna del propio complemento.
Desde que la vulnerabilidad se hizo pública el 24 de noviembre, Wordfence ha registrado más de ciento treinta mil intentos de ataque. Solo en las últimas veinticuatro horas se detectaron más de quince mil intentos adicionales. En los ataques se han observado archivos maliciosos descargados desde un dominio controlado por los atacantes, junto con archivos de configuración destinados a ocultar la actividad.
Se estima que más de mil setecientas instalaciones activas continúan expuestas y pueden sufrir redirecciones no autorizadas, inyección de contenido malicioso, instalación de puertas traseras o uso del sitio para campañas de spam.

Vulnerabilidad en ICTBroadcast y propagación de Frost

La segunda vulnerabilidad, identificada en ICTBroadcast, también permite ejecución remota de código. Los operadores del botnet Frost la están utilizando para comprometer servidores y sumarlos a su red. Una vez infectados, estos sistemas pueden ser utilizados para ataques de denegación de servicio distribuidos o para descargar nuevas cargas dañinas. Los ataques comenzaron inmediatamente después de divulgarse la falla.

Recomendaciones de mitigación

Los especialistas recomiendan aplicar de inmediato las actualizaciones disponibles para Sneeit Framework y para ICTBroadcast. También se sugiere revisar cuidadosamente los usuarios con privilegios elevados, eliminar extensiones o complementos innecesarios y monitorear cualquier archivo inesperado en las carpetas del sitio.
Además, es importante contar con un firewall de aplicaciones web, auditar los registros de actividad y eliminar componentes no utilizados para reducir el riesgo. Estas medidas ayudan a proteger los entornos de producción frente a amenazas que buscan comprometer sistemas de administración de contenido y servidores de comunicaciones.