Aprendizado e descoberta 4min de Leitura - 11 de março de 2020

Cibercriminosos exploram vulnerabilidades zero-day em plugins WordPress

Tela com linguagem de programação escrita em fundo preto.

This post is also available in: Português

O WordPress é a ferramenta de construção de sites mais utilizada no mundo. São mais de 35% de todos os sites da internet sendo executados em versões do CMS (sistema de gerenciamento de conteúdo).

E por ter um grande número de instalações ativas, o WordPress é uma enorme superfície de ataque.
A todo momento há tentativas de invasão a sites cuja plataforma é o WordPress. Nos últimos meses estas tentativas ocorreram em níveis mais baixos, se comparados a 2019. Esta desaceleração é conhecida pelos especialistas e coincide com a presente época do ano.

Contudo, de agora em diante os ataques retornam com força total, gerando preocupação para profissionais e empresas que utilizam a plataforma.

Continue a leitura para saber mais sobre as explorações e ataques nos plugins do WordPress.

Novas explorações de vulnerabilidades após a calmaria

No último mês, vimos o ressurgimento de ataques contra sites WordPress, sinalizando o fim da calmaria nos meses de dezembro e janeiro.

Muitas empresas de segurança digital especializadas em produtos de segurança para WordPress relataram um número cada vez maior de ataques a sites que utilizam a plataforma. Os novos ataques se concentraram na exploração de bugs nos plug-ins do WordPress e não na exploração do próprio CMS.

Grande parte dos ataques usavam de bugs de plug-ins que haviam sido corrigidos recentemente, antes que os administradores dos sites pudessem aplicar patches de segurança.

Alguns dos ataques foram mais sofisticados do que outros. Os invasores descobriram e exploraram zero-day, termo utilizado para descrever vulnerabilidades que são desconhecidas pelos autores do plug-in. É altamente recomendado aos administradores de sites atualizar todos os plug-ins do WordPress, pois provavelmente serão explorados em 2020 e até nos anos seguintes.

Algumas falhas recentes em plugins do WordPress

Apresentaremos agora um breve resumo sobre todas as vulnerabilidades descobertas em fevereiro que tiveram como alvo falhas em plugins do WordPress.

Duplicador

A Wordfence exibiu um relatório onde diz que desde fevereiro os cibercriminosos exploram um bug no Duplicator, um plugin que permite que os administradores exportem o conteúdo de seus sites.

O bug, corrigido na atualização 1.3.28, permite que os invasores exportem uma cópia do site, de onde podem extrair credenciais do banco de dados e depois sequestrar o servidor MySQL subjacente de um site do WordPress.

O Duplicator é um dos plugins mais populares no WordPress, o que piora a situação, pois existiam mais de um milhão de instalações no momento em que os ataques começaram (10 de fevereiro).

Profile Builder

Um erro crítico na versão gratuita e profissional do plugin do Profile Builder permite que os cibercriminosos registrem contas de administrador não autorizadas em sites do WordPress.

O bug foi corrigido por volta de 10 de fevereiro, mas os ataques começaram no dia 24 de fevereiro, mesmo dia que o código de provas de conceito foi publicado online.

De acordo com o relatório da Wordfence, há pelo menos dois grupos de hackers explorando esse bug. Mais de 65 mil sites (50 mil na versão gratuita e 15 mil na versão comercial) estão vulneráveis a ataques, a menos que atualizem o plug-in para a versão mais recente.

ThemeGrill importador

Os mesmos grupos que estão explorando o plugin do Profile Builder têm como alvo um bug no ThemeGrill Demo Importador, plugin fornecido com temas vendidos pelo ThemeGrill, fornecedor de temas comerciais para WordPress.

São mais de 200 mil sites com o plugin instalado. O bug permite que os invasores limpem sites com uma versão vulnerável e assumam a conta “admin”. Os ataques foram confirmados pelo Wordfence, WebARX e alguns pesquisadores independentes no Twitter. O código que corrige o problema está disponível na página do desenvolvedor do plugin, e pode ser acessado através do link. É recomendada a atualização para o v1.6.3 o quanto antes.

ThemeREX Addons

Ataques direcionados ao ThemeREX Addons também foram identificados. Segundo a Wordfence, os ataques começaram em 18 de fevereiro, quando invasores encontraram uma vulnerabilidade de zero-day no plugin e começaram a explorá-lo para criar contas de administrador não autorizadas em sites vulneráveis.

Mesmo com os ataques em andamento, um patch de segurança não foi disponibilizado e os administradores do site são aconselhados a remover o plugin de seus sites o mais rápido possível.

Campos flexíveis de pagamento para WooCommerce

Sites que executam pagamento para WooCommerce também tem sofrido ataques. São mais de 20 mil sites de comércio eletrônico em WordPress com o plugin instalado. Os hackers usaram uma vulnerabilidade de zero-day para injetar cargas de XSS que podem ser acionadas no painel de um administrador conectado. As cargas úteis do XSS permitiam que hackers criassem contas de administradores em sites vulneráveis. Esses ataques estão em andamento desde 26 de fevereiro.

Async Javascript, 10Web Map Builder para Google maps, Modern Events Calendar Lite

Três zero-day semelhantes foram descobertos nos plugins Async JavaScript , 10Web Map Builder para Google Maps e Modern Events Calendar Lite .

Os plugins são usados, respectivamente, em 100 mil, 20 mil e 40 mil sites.  Os três zero-day eram erros XSS armazenados, assim como o do WooCommerce. Eles receberam patches de segurança, mas os ataques aconteceram antes que esses patches estivessem disponíveis. Isso significa que alguns sites provavelmente foram comprometidos.

Como citado anteriormente, é muito importante que todos os administradores de sites atualizem esses plugins o quanto antes para garantir sua segurança.

É muito provável que os invasores continuem a explorar, não só as vulnerabilidades desses plugins, como de muitos outros.

Acompanhe-nos em nossas redes sociais para ficar por dentro de todos os nossos conteúdos: Facebook, Instagram, Linkedin e Twitter.

This post is also available in: Português