Do not speak Portuguese? Translate this site with Google or Bing Translator

Várias vulnerabilidades de plugins do WordPress estão sendo exploradas

Aproveitando-se da falta de atualização, várias vulnerabilidades de plugins do WordPress estão sendo exploradas. Confira as mais recentes informações sobre esse perigo.

Recentemente postei aqui no Blog notícias sobre falhas de plugins do WordPress que poderiam ser exploradas para obter acesso não autorizado e outras atividades indesejadas. Primeiro foi o WordPress GDPR Cookie Consent, depois o plugin ThemeGrill Demo Importer for WordPress e então veio um bug zero-day do ThemeREX Addons.

Várias vulnerabilidades de plugins do WordPress estão sendo exploradas
Várias vulnerabilidades de plugins do WordPress estão sendo exploradas

Agora, os cibercriminosos estão aproveitando as falhas de segurança recentes relatadas recentemente nos plugins populares do WordPress e estão direcionando sites que ainda executam versões vulneráveis.

Várias vulnerabilidades de plugins do WordPress estão sendo exploradas

Pelo menos dois agentes de ameaças estão atacando ativamente variantes não corrigidas dos plugins ThemeGrill Demo Importer, Profile Builder e Duplicator que estão instalados.

O que os três componentes do WordPress têm em comum são relatórios recentes de um bug crítico de gravidade que pode ser explorado para comprometer o site em que são executados.

Os pesquisadores estimam que existem centenas de milhares de sites WordPress atualmente em risco de exploração, porque os administradores não atualizaram os três plugins.

Várias vulnerabilidades de plugins do WordPress estão sendo exploradas – Lazy Tony

Um investigador de segurança adversário chamado ‘tonyredball’ obtém acesso backdoor a sites que executam uma versão vulnerável dos dois plugins a seguir:

  • ThemeGrill Demo Importer (abaixo de 1.6.3) – o bug permite que usuários não autenticados efetuem login como administrador e armazenem todo o banco de dados do site
  • Profile Builder free and Pro (abaixo de 3.1.1) – falha permite que um usuário não autenticado obtenha privilégios de administrador

Os especialistas em segurança do WordPress da Defiant observaram o tonyredball explorando a vulnerabilidade de registro do administrador no Profile Builder por meio de solicitações que continham o nome de usuário, email e outros detalhes do perfil da nova conta de administrador.

No entanto, os pesquisadores notaram que esse agente de ameaças se envolveu em um número muito maior de ataques que tiraram vantagem da falha de exclusão de banco de dados no ThemeGrill Demo Importer.

O motivo desse comportamento é provavelmente a exploração mais fácil dessa falha, que requer apenas o envio de uma solicitação para uma instalação vulnerável. Eles teriam que se esforçar mais no caso do Profile Builder, porque precisariam encontrar o formulário vulnerável primeiro.

Mikey Veenstra, analista de ameaças da Defiant, fabricante do Wordfence, disse o seguinte:

“O resultado final da exploração de uma dessas vulnerabilidades é o acesso administrativo ao site da vítima. Com esse acesso, o invasor carrega scripts maliciosos por meio do plugin e dos carregadores de temas no painel do WordPress.”

O invasor usa várias variantes do script, associadas a vários nomes de arquivos, sendo os mais comuns blockspluginn.php, wp-block-plugin.php, supersociall.php, wp-block-plugin.php e wp-hello-plugin .php.

Após a exploração, o agente de ameaças fornece cargas projetadas para infectar mais arquivos, por persistência. Procurar outros sites vulneráveis ​​do WordPress é outro comportamento observado pelos pesquisadores.

Em alguns casos, o invasor injeta código malicioso em arquivos JavaScript legítimos. O objetivo do código é carregar outro script de uma fonte externa, que redireciona os visitantes do site para um local potencialmente malicioso.

O redirecionamento não é sofisticado e fácil de detectar no momento, mas o invasor pode modificar os scripts para ficar mais furtivo. Em um exemplo, os visitantes são direcionados para um site (‘talktofranky.com’) que solicita que eles pressionem “Permitir” no pop-up de notificação do navegador para provar que são humanos.

Se os visitantes cumprirem, eles dão permissão para receber notificações desse site, incluindo spam. Veenstra encontrou um fórum de discussão sobre esta campanha, sugerindo que ela causou algumas vítimas.

Segundo o pesquisador, os ataques do tonyredball se originam de um endereço IP primário, 45.129.96.17, alocado ao provedor de hospedagem estoniano GMHost, conhecido por sua política flexível de convidar atividades cibercriminosas.

Não há um número definido de quantos sites estão vulneráveis ​​por causa de plugins sem patch. Veenstra disse ao site BleepingComputer que a estimativa da Defiant coloca o Profile Builder com cerca de 37.000 sites vulneráveis ​​e o ThemeGrill Demo Importador com cerca de 40.000.

Outro jogador com uma lista maior

Um invasor mais sofisticado identificado pelo Defiant é “solarsalvador1234”, assim nomeado devido a um endereço de email usado nas solicitações que levam à exploração.

Além dos dois plugins direcionados pelo tonyredball, esse agente de ameaças também possui o Duplicator on the list, um componente do WordPress com mais de um milhão de instalações ativas que permite clonar e migrar um site de um local para outro. Ele também pode copiar ou mover, para que também possa ser usado como uma solução de backup.

As versões do Duplicator inferiores a 1.3.28 possuem um bug de segurança que permite que usuários não autenticados baixem arquivos arbitrários dos sites das vítimas.

Isso pode ser usado para recuperar o arquivo de configuração do site, wp-config.php, onde as credenciais para acesso ao banco de dados são armazenadas; e é exatamente isso que o solarsalvador1234 faz. O objetivo imediato é estabelecer acesso a longo prazo ao site comprometido.

O acesso administrativo a um site vítima é o que os invasores obtêm explorando qualquer uma das três vulnerabilidades já divulgadas e corrigidas publicamente.

Com base nas taxas de atualização da rede, a Defiant estima que cerca de 800.000 sites ainda possam executar uma instalação vulnerável do plug-in do Duplicator.

A Veenstra alerta que essas campanhas não são as únicas ativas, mas servem como um lembrete para os proprietários de sites para manter atualizados os componentes do WordPress que usam.

“Quando uma atualização de segurança é lançada, torne-a uma prioridade imediata para instalá-la. Os atores de ameaças que enfrentam o ecossistema do WordPress identificam e exploram rapidamente as vulnerabilidades, o que aumenta a importância de ações oportunas para proteger sua infraestrutura.”

O que está sendo falado no blog

Veja mais artigos publicados neste dia…

Compartilhe:
Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.