Falha em plugin do WordPress coloca 12 milhões de sites em risco de invasão
3
0
Cibercriminosos estão explorando uma vulnerabilidade de alta severidade no plugin do WordPress Elementor Pro, que é usado em mais de 12 milhões de sites. Uma vulnerabilidade crítica que pode permitir que invasores assumam o controle do site, se explorada, conforme comunicado divulgado na última semana. O bug foi descoberto pelo especialista em segurança cibernética Jerome Bruandet.
A vulnerabilidade afeta a versão 3.11.6 e anteriores e permite que um invasor que tenha obtido autenticação possa modificar a configuração do site, conseguindo posteriormente criar contas com permissão de administrador, assumindo assim o controle total da página na qual o WooComerce tenha sido instalado.
Atualmente já está disponível uma versão do plugin que corrige a falha e impede a exploração da vulnerabilidade. Os criadores do plugin explicaram que “foram feitas melhorias na segurança do código nos componentes do WooCommerce”. A vulnerabilidade recebeu uma pontuação de 8,8 em 10 na escala de severidade do CVSS e foi descoberta pelo pesquisador Jerome Bruandet no dia 28 de março. Quando o Elementor Pro é instalado em um site que conta com o WooCommerce instalado, ele carrega um componente que registra uma série de ações AJAX usadas pelo plugin para criar páginas.
Uma destas ações chama uma função que permite modificar as opções do banco de dados do WordPress, mas esta ação do Elementor Pro não tinha os devidos controles de privilégios. Portanto, caso um cibercriminoso obtenha permissões de autenticação, ele pode explorar a vulnerabilidade para criar contas de administrador e executar uma variedade de ações maliciosas, desde modificar o endereço de e-mail do administrador, redirecionar o tráfego para outro site, ou mesmo fazer upload de um backdoor para executar outras ações criminosas a partir do site atacado.
Exploração da vulnerabilidade
Esta vulnerabilidade está sendo explorada e estamos vendo ataques de vários endereços IP, a maioria desses ataques são dos seguintes endereços IP:
- 193.169.194.63
- 193.169.195.64
- 194.135.30.6
Também estamos vendo arquivos sendo carregados com os seguintes nomes:
- wp-resortpack.zip
- wp-rate.php
- ll.zip
URL do site sendo alterado para:
- away[.]trackersline[.]com
Proteção
Para se proteger é recomendável atualizar seu site o mais rápido possível se você estiver executando o plug-in Elementor Pro com uma versão inferior a 3.11.7. É sempre bom lembrar a importância de manter plugins e themas atualizados quando falamos de WordPress, WooCommerce e qualquer outra aplicação, pois componentes vulneráveis costumam ser uma das principais portas de entrada para cyber criminosos. Também é recomendado utilizar sistemas de proteção que detectam tentativas de exploração de vulnerabilidades e componentes desatualizados, como o WP Anti-Hacker, plugin de proteção para WordPress/WooCommerce da empresa AHT Security(https://ahtsecurity.com).
Protected by WP Anti-Hacker