This post is also available in: Português
Com mais de 60% do mercado, o WordPress é a plataforma de gerenciamento de sites e blogs mais utilizada no mundo. É através dela que os donos de sites conseguem ajustar a aparência, incluir funcionalidades e postar novos conteúdos, por exemplo. Sua abrangência é tanta que tem sido alvo constante de cibercriminosos – sempre em busca de invadir sites para tirar proveito de informações sigilosas.
Nos últimos dias, crackers foram vistos redefinindo senhas para contas de administrador em sites WordPress. Fizeram isso ao explorar uma vulnerabilidade de dia zero em um popular plugin do WordPress, instalado em mais de 500 mil sites.
Felizmente, o problema já foi corrigido pelos desenvolvedores do plugin, mas milhares de sites ainda não o atualizaram – algo necessário para evitar os ataques.
Ação sorrateira
As invasões acontecem através do Easy WP SMTP, um plug-in que permite definir as configurações de SMTP para os emails de saída. O Easy WP SMTP 1.4.2, e versões anteriores, contêm um recurso que cria logs de depuração para todos os emails enviados pelo site, os quais são armazenados em sua pasta de instalação.
A pasta do plugin não tem nenhum arquivo index.html. Assim, os cibercriminosos podem encontrar e visualizar o log em servidores que têm a listagem de diretórios ativada. Em sites que executam versões vulneráveis desse plug-in, os crackers têm realizado ataques automatizados para identificar a conta do administrador e, em seguida, iniciar uma redefinição de senha.
Como esse processo envolve o envio de um e-mail com o link de redefinição de senha para a conta do administrador, esse e-mail também é registrado no log de depuração do Easy WP SMTP. Aí, tudo o que os invasores precisam fazer é acessar o log de depuração após a redefinição da senha, pegar esse link de redefinição e assumir o controle da conta de administrador do site. Como milhares de sites ainda não atualizaram a versão do plug-in, os ataques continuam a acontecer – e provavelmente só vão parar quando houver um número muito baixo de alvos desprotegidos para atacar.
Atualizar é a solução
Os desenvolvedores do plug-in corrigiram esse problema movendo o registro de depuração para a pasta de registros do WordPress, onde está mais protegido. A versão na qual esse bug foi corrigido é a Easy WP SMTP 1.4.4, que deve ser baixada o quanto antes por quem tem somente as anteriores.
Isso marca o segundo Dia Zero descoberto nesse plugin tão popular. O primeiro foi descoberto em março de 2019, quando os crackers usaram uma vulnerabilidade Easy WP SMTP para permitir o registro do usuário e, em seguida, criaram contas de administrador backdoor.
Entretanto, em comparação com aquela época, o WordPress hoje conta com uma função de atualização automática integrada para temas e plug-ins. Adicionada em agosto passado com o lançamento do WordPress 5.5, se habilitado esse recurso permite que os plug-ins sempre sejam executados na versão mais recente.
No entanto, ainda não está claro quantos sites WordPress têm esse recurso habilitado, e quantos dos mais de 500.000 sites WordPress estão executando a versão mais recente do Easy WP SMTP.
De acordo com estatísticas do WordPress.org, esse número não é tão alto, o que significa que muitos sites permanecem vulneráveis a ataques. Cabe então aos proprietários de sites fazerem essa checagem, tranquilizando quem acessa seus conteúdos.
This post is also available in: Português
