A Wordfence descobriu que alguns hackers estão explorando uma falha no plugin WordPress Tatsu Builder, massivamente.
Aproveitando-se do fato de que o WordPress é um um dos CMS (Content Management System, Sistema de Gestão de Conteúdo) mais usados atualmente, alguns hackers estão explorando massivamente uma vulnerabilidade de execução remota de código, CVE-2021-25094, no plugin Tatsu Builder para WordPress, que está instalado em cerca de 100.000 sites.
Hackers estão explorando uma falha no plugin WordPress Tatsu Builder
O Tatsu Builder é um plugin popular que oferece recursos poderosos de edição de modelos integrados diretamente no navegador da web. Estima-se que até 50.000 sites ainda executem uma versão vulnerável do plug-in, embora um patch esteja disponível desde o início de abril.
Grandes ondas de ataque começaram em 10 de maio de 2022 e atingiram o pico quatro dias depois. A exploração está em andamento.
A vulnerabilidade visada é CVE-2021-25094, permite que um invasor remoto execute código arbitrário nos servidores com uma versão desatualizada do plug-in (todas as compilações anteriores à 3.3.12).
A falha foi descoberta pelo pesquisador independente Vincent Michel, que a divulgou publicamente em 28 de março de 2022, juntamente com o código de exploração de prova de conceito (PoC, proof of concept).
O fornecedor lançou um patch na versão 3.3.13 e alertou os usuários por e-mail em 7 de abril de 2022, pedindo que aplicassem a atualização.
A Wordfence, uma empresa que oferece uma solução de segurança para plugins do WordPress, vem monitorando os ataques atuais. Os pesquisadores estimam que existam entre 20.000 e 50.000 sites que executam uma versão vulnerável do Tatsu Builder.
Detalhes do ataque
O Wordfence relata ter visto milhões de ataques contra seus clientes, bloqueando 5,9 milhões de tentativas em 14 de maio de 2022.
O volume diminuiu nos dias seguintes, mas os esforços de exploração continuam em níveis elevados.
Os agentes de ameaças tentam injetar um dropper de malware em uma subpasta do diretório “wp-content/uploads/typehub/custom/” e torná-lo um arquivo oculto.
O conta-gotas é denominado “.sp3ctra_XO.php” e tem um hash MD5 de 3708363c5b7bf582f8477b1c82c8cbf8.
A Wordfence relata que mais de um milhão de ataques vieram de apenas três endereços IP: 148.251.183[.]254, 176.9.117[.]218 e 217.160.145[.]62. Os administradores de sites são aconselhados a adicionar esses IPs à lista de bloqueio.
É claro que esses indicadores de comprometimento não são estáveis e o invasor pode mudar para outros diferentes, especialmente agora que foram expostos publicamente.
Todos os usuários do plugin Tatsu Builder são altamente recomendados para atualizar para a versão 3.3.13 para evitar riscos de ataque.