Hackers usam ativamente plugins WordPress vulneráveis ​​para atacar sites

Mais e mais hackers usam as vulnerabilidades de segurança mais recentes encontradas recentemente no ataque de plugins do WordPress. Os cibercriminosos têm como alvo os proprietários de sites que não atualizam seus plugins e ainda usam versões antigas de versões vulneráveis.

Vários grupos de hackers fazem isso. Por enquanto, os especialistas em segurança conhecem pelo menos dois grupos que estão atacando versões não corrigidas dos plugins Profile Builder, ThemeGrill Demo Importer e Duplicator.

Estes são plugins bastante populares instalados em vários sites. Estima-se que existam várias centenas de milhares de sites que correm o risco de serem explorados porque seus proprietários não atualizaram esses três plugins.

Todos os plugins mencionados acima compartilham uma coisa em comum. Pesquisadores de segurança compartilharam recentemente relatórios sobre bugs críticos de segurança encontrados nesses plugins que podem levar ao comprometimento do site.

Um dos adversários que os especialistas em segurança chamam de Tonyredball obtém acesso a sites WP que possuem uma versão vulnerável de:

ThemeGrill Demo Importer (abaixo da versão 1.6.3) A falha permite que qualquer usuário faça login como um administrador e limpe todo o banco de dados.

Profile Builder (abaixo da versão 3.1.1) O bug permite que usuários não autenticados obtenham privilégios de administrador também.

Grupo Tonyredball
Especialistas em segurança da Defiant apontam que o grupo Tonyredball explora o bug de registro de administrador no plugin Profile Builder usando solicitações da web contendo o e-mail e o nome de usuário da nova conta de administrador.

Ao mesmo tempo, especialistas acreditam que esse grupo de hackers está envolvido em muitos outros ataques que exploram o bug de exclusão de banco de dados encontrado no plugin ThemeGrill Demo Importer.

A razão para a exploração em massa do ThemeGrill Demo Importer é provavelmente a facilidade de fazê-lo. Requer apenas que os invasores enviem uma solicitação para um ataque de site vulnerável por meio de plugins do WordPress. E no caso do Profile Builder, os invasores precisariam fazer esforços mais sérios, pois deveriam encontrar o formulário vulnerável primeiro.

O resultado final da exploração de ambas as vulnerabilidades é obter privilégios administrativos e a capacidade de acessar o site da vítima. Uma vez que o acesso é obtido, com a ajuda dos uploaders de temas e plugins, os hackers carregam seus scripts maliciosos no painel do WordPress.

Os agentes de ameaças utilizam vários tipos de scripts associados a nomes de arquivos como wp-block-plugin.php, blockspluginn.php, supersociall.php e wp-block-plugin.php.

Após a exploração inicial, os invasores entregam cargas adicionais destinadas a infectar mais arquivos e obter uma presença mais ampla no site. Além disso, os pesquisadores observaram que os autores de malware começam a procurar outros sites WP vulneráveis ​​ao mesmo método de exploração.

Em muitos casos, os invasores injetam código malévolo em arquivos JavaScript legítimos. O objetivo dessa mudança é carregar mais um script de um servidor diferente que redirecionaria os visitantes para sites maliciosos controlados pelos cibercriminosos.

No momento, esse redirecionamento é fácil de detectar e não é sofisticado, mas os malfeitores podem modificar seu script para ser muito mais sorrateiro.

Em um caso, os visitantes foram redirecionados para um site chamado Talktofranky que pediu para pressionar Permitir no pop-up de notificação do navegador, a fim de provar que são pessoas reais e não bots. Se os visitantes o fizessem, permitiam que o site enviasse várias notificações, incluindo spam.

Isso pode parecer uma ameaça menor, mas os proprietários de dispositivos Mac que não são fáceis de hackear geralmente são vítimas de tais truques. Por exemplo, os usuários foram redirecionados para sites desonestos como o A.akamaihd.net.

Pesquisadores de segurança encontraram uma discussão em um dos fóruns online dedicados a essa situação, sugerindo que existem algumas vítimas.

O que é interessante, todos os ataques do grupo Tonyredball se originam de um único IP -45.129.96.17. Ele está localizado na Estônia e alocado ao provedor de hospedagem local chamado GMHost. Esse provedor é bem conhecido por suas políticas ruins que atraem muitos cibercriminosos para hospedar lá. Este provedor simplesmente não reage a reclamações.

Não está muito claro quantos sites WordPress podem ser atingidos por causa de plugins vulneráveis. Os pesquisadores estimam que o plugin Profile Builder pode ser instalado em cerca de 37 mil sites e o ThemeGrill Demo Importer em cerca de 40 mil sites.

Grupo Solarsalvador1234
Mais um grupo que parece ser mais sofisticado é chamado Solarsalvador1234. Pesquisadores da Defiant o nomearam assim porque é o nome de um endereço de e-mail frequentemente usado em solicitações da web que levaram à exploração.

Este agente de ameaças também tem como alvo os dois plugins mencionados acima, mas além deles, o grupo Solarsalvador1234 tem o plugin Duplicator em sua lista. Este plugin WordPress ajuda a clonar e migrar um site de um lugar para outro. Tem mais de um milhão de instalações ativas!

Versões do Duplicator inferiores a 1.3.28 são relatadas como possuindo uma falha de segurança que permite que visitantes não autenticados baixem arquivos diferentes de sites direcionados.

Este bug é frequentemente usado para obter o arquivo de configuração do site da vítima – wp-config.php que armazena as credenciais do usuário para acessar o banco de dados. O objetivo principal é obter possibilidades de entrada estendidas e de longo prazo no site comprometido.

Assim, ao explorar essas três vulnerabilidades de segurança, no final das contas, os invasores obtêm acesso administrativo total aos sites das vítimas. É importante lembrar que essas vulnerabilidades já são divulgadas publicamente e corrigidas.

No caso do hack, os proprietários de sites devem se culpar por não seguir as melhores práticas de segurança e não atualizar os plugins de ataque do WordPress a tempo. Com base em estatísticas recentes, pesquisadores de segurança acreditam que cerca de 800 mil sites ainda executam uma versão não corrigida do Duplicator.

Há muitas razões para acreditar que os três plugins vulneráveis ​​mencionados acima não são os únicos que estão sendo explorados.

Novamente, os proprietários de sites devem lembrar que, uma vez lançada qualquer atualização de segurança, deve ser sua prioridade instalá-la, pois mais e mais hackers atacam sites WordPress, encontrando e explorando rapidamente todas as falhas de segurança novas e antigas.