Campanha massiva atinge 900 mil sites WordPress em uma semana

A WordPress Defiant informou que uma campanha massiva atinge 900 mil sites WordPress em uma semana. Confira os detalhes dessa ameaça e veja como proteger seu site.

Por ser o CMS mais usado no mundo, o WordPress também se torna automaticamente, o principal alvo de hackers mal intencionados. E infelizmente, isso só tem piorado.

Alguns hackers lançaram um ataque maciço contra mais de 900 mil sites WordPress que tentavam redirecionar visitantes para sites de malvertising ou plantar um backdoor se um administrador estivesse logado.

Campanha massiva atinge 900 mil sites WordPress em uma semana

Com base na carga útil, os ataques parecem ser obra de um único agente de ameaça, que usou pelo menos 24.000 endereços IP‌ no mês passado para enviar solicitações maliciosas para mais de 900 mil sites.

As tentativas de compromisso aumentaram após 28 de abril.

A empresa de segurança WordPress Defiant, fabricante do plug-in de segurança Wordfence, detectou em 3 de maio mais de 20 milhões de ataques contra mais de meio milhão de sites.

Ram Gall, QA sênior da Defiant, disse que os atacantes se concentraram principalmente na exploração de vulnerabilidades de scripts entre sites (XSS) em plug-ins que receberam uma correção há meses ou anos e foram alvo de outros ataques.

Redirecionar visitantes para malvertising é um efeito de um compromisso bem-sucedido.

Se o JavaScript for executado pelo navegador de um administrador conectado, o código tentará injetar uma backdoor PHP no arquivo de cabeçalho do tema, juntamente com outro JavaScript.

O backdoor recebe outra carga útil e a armazena no cabeçalho do tema, na tentativa de executá-la. “Esse método permitiria ao invasor manter o controle do site”, explica Gall.

Dessa forma, o invasor pode mudar para uma carga útil diferente, que pode ser um shell web, código que cria um administrador mal-intencionado ou excluir o conteúdo de todo o site.

No relatório de hoje, a Defiant incluiu indicadores de comprometimento para a carga útil final.

Antigas vulnerabilidades direcionadas

Várias vulnerabilidades foram detectadas, mas as seguintes são as mais direcionadas, diz Gall. Observe que os plugins vulneráveis foram removidos dos repositórios oficiais ou receberam um patch no ano passado ou antes.

Uma vulnerabilidade XSS no plug-in Easy2Map, que foi removida do repositório de plug-ins do WordPress em agosto de 2019 e que estimamos estar provavelmente instalada em menos de 3.000 sites. Isso foi responsável por mais da metade de todos os ataques.
Uma vulnerabilidade XSS no Blog Designer que foi corrigida em 2019. Estimamos que não restem mais de 1.000 instalações vulneráveis, embora essa vulnerabilidade tenha sido o alvo de campanhas anteriores.
Uma vulnerabilidade de atualização de opções no WP GDPR Compliance corrigida no final de 2018, que permitiria que os invasores alterassem o URL inicial do site, além de outras opções. Embora este plug-in tenha mais de 100.000 instalações, estimamos que não restem mais de 5.000 instalações vulneráveis.
Uma opção atualiza a vulnerabilidade no total de doações, permitindo que os invasores alterem o URL inicial do site. Este plug-in foi removido permanentemente do Envato Marketplace no início de 2019 e estimamos que restem menos de 1.000 instalações no total.
Uma vulnerabilidade XSS no tema Newspaper, corrigida em 2016. Essa vulnerabilidade também foi direcionada no passado.