Bugs no WordPress possivelmente permitiam que hackers ganhassem direitos de administrador e limpassem dados de sites vulneráveis
O plugin específico é instalado em pelo menos 44.000 sites, de acordo com a empresa de segurança Wordfence, então esses sites são todos vulneráveis.[2] O plug-in fornece 466 temas e modelos comerciais do WordPress para venda, para que os clientes possam configurar e gerenciar temas com mais facilidade.
O plug-in funciona configurando um endpoint REST-API do WordPress, mas sem verificar se os comandos enviados para esta API REST vêm do proprietário do site ou de um usuário autorizado ou não. É assim que o código remoto pode ser executado por qualquer visitante não autenticado.
[3]Outro bug envolvendo os temas do WordPress foi encontrado em plug-ins da ThemeGrill, que vende temas de sites para mais de 200.000 sites. A falha permitiu que os invasores enviassem a carga útil específica para esses sites vulneráveis e acionassem as funções desejadas após obterem direitos de administrador.[4]
O esquema de temas WordPress trojanizados que levaram a servidores comprometidos
De acordo com a análise, tais falhas permitiram comprometer pelo menos 20.000 servidores web em todo o globo. Possivelmente levou a instalações de malware, exposição de anúncios maliciosos. Mais de um quinto desses servidores pertencem a empresas de médio porte que têm menos recursos para fazer mais sites personalizados, ao contrário de empresas maiores, portanto, tais incidentes de segurança também são mais significativos em dano.
Aproveitar esse CMS amplamente usado pode ter começado em 2017. Os hackers podem atingir seus objetivos e, sem saber, comprometer vários sites devido à falta de consciência de segurança das vítimas. Além dos plug-ins vulneráveis mencionados e outras falhas, 30 sites que oferecem temas e plug-ins WordPress foram descobertos.[5]
Pacotes Trojanized foram instalados e os usuários espalharam arquivos maliciosos, mesmo sem saber que tal comportamento permite que os invasores obtenham controle total sobre o servidor da web. A partir daí, é fácil adicionar contas de administrador, recuperar servidores da web e até obter acesso a recursos corporativos.
Além disso, o malware incluído em tais ataques pode:
- comunicar-se com servidores C&C de propriedade de hackers;
- baixar arquivos do servidor;
- adicione cookies para coletar vários dados do visitante;
- coletar informações sobre a máquina afetada.
Além disso, os criminosos envolvidos em tais esquemas podem usar palavras-chave, publicidade maliciosa e outras técnicas:
Em vários casos, os anúncios eram completamente benignos e direcionavam o usuário final a um serviço ou site legítimo. Em outros casos, entretanto, observamos anúncios pop-up solicitando ao usuário o download de programas potencialmente indesejados.
WordPress é o CMS mais popular do mundo
Os relatórios recentes mostram que o uso de um CMS não é mais opcional e está em ascensão. Especialmente para empresas corporativas e aplicativos headless que controlam o conteúdo separado da camada de exibição inicial ou da experiência do usuário front-end.[6] A pesquisa mostra que, quando comparado a outros sistemas de gerenciamento de conteúdo, o uso do WordPress tem aumentado.
Além disso, as empresas claramente se beneficiam com o uso de mais de um CMS de uma vez, então essa prática se torna cada vez mais popular. Isso é excepcionalmente útil quando se trata de problemas com vulnerabilidades e bugs ou questões diferentes relacionadas aos serviços, privacidade e segurança do seu site e dados confidenciais.
Passos possíveis
Os pesquisadores aconselham organizações e administradores a:
- evite usar software pirata;
- habilitar e atualizar o Windows Defender ou diferentes soluções AV;
- evite reutilizar senhas em contas;
- atualize o sistema operacional regularmente
- dependem de patches que estão disponíveis para algumas dessas vulnerabilidades e atualizações para plug-ins específicos.