Hackers comprometeram o sistema de atualização do plugin Smart Slider 3 Pro para WordPress e Joomla e distribuíram uma versão maliciosa com múltiplas backdoors.
Segundo o desenvolvedor, apenas a versão Pro 3.5.1.35 do plugin foi afetada.
A recomendação é atualizar imediatamente para a versão mais recente, 3.5.1.36, ou reverter para a 3.5.1.34 ou versões anteriores.
Além de instalar backdoors em vários pontos, a atualização maliciosa criou um usuário oculto com privilégios de administrador e roubou dados sensíveis.
No WordPress, o Smart Slider 3 é usado em mais de 900.000 sites para criar sliders responsivos por meio de um editor visual, com uma ampla seleção de layouts e designs.
De acordo com o fornecedor, o threat actor distribuiu a atualização maliciosa em 7 de abril, e parte dos sites pode tê-la instalado.
Uma análise da PatchStack, empresa especializada em segurança para WordPress e software open source, aponta que o malware é um toolkit completo e em múltiplas camadas, embutido no arquivo principal do plugin e mantendo intacta a funcionalidade normal do Smart Slider.
Os pesquisadores identificaram que o conjunto malicioso permite que um atacante remoto execute comandos sem autenticação por meio de HTTP headers especialmente criados.
O código também inclui uma segunda backdoor autenticada, com execução de PHP eval e comandos do sistema operacional, além de roubo automatizado de credenciais.
A persistência do malware é garantida por várias camadas, entre elas a criação de uma conta de administrador oculta e o armazenamento de credenciais no banco de dados.
Além disso, ele cria um diretório `mu-plugins` e adiciona um must-use plugin com um nome de arquivo que imita um componente legítimo de cache.
Os must-use plugins têm uma característica especial no WordPress, pois são carregados automaticamente, não podem ser desativados pelo painel e não aparecem na seção de plugins.
A PatchStack informa ainda que o kit malicioso injeta uma backdoor no arquivo `functions.php` do tema ativo, o que permite sua permanência enquanto o tema continuar em uso.
Outra camada de persistência é a inserção, no diretório `wp-includes`, de um arquivo PHP com nome que imita uma classe legítima do core do WordPress.
“Diferentemente das outras camadas de persistência, essa backdoor não depende do banco de dados do WordPress e lê sua chave de autenticação de um arquivo `.cache_key` armazenado no mesmo diretório”, explicam os pesquisadores da PatchStack.
Com isso, alterar as credenciais do banco de dados não neutraliza a backdoor, que continua funcionando “mesmo que o WordPress não consiga inicializar completamente”.
O fornecedor também emitiu um alerta semelhante para instalações Joomla.
Segundo a empresa, o código malicioso presente na versão 3.5.1.35 do plugin pode criar uma conta de administrador oculta, geralmente com o prefixo `wpsvc_`, instalar backdoors adicionais nos diretórios `/cache` e `/media` e roubar informações e credenciais do site.
A atualização maliciosa foi distribuída aos usuários em 7 de abril, mas a equipe do Smart Slider sugere 5 de abril como a data mais segura para restauração de backup, a fim de considerar corretamente eventuais diferenças de fuso horário.
“Uma violação de segurança afetou o sistema de atualização responsável por distribuir o Smart Slider 3 Pro para WordPress”, diz o comunicado do fornecedor.
Se não houver backup disponível, a recomendação é remover o plugin comprometido e instalar uma versão limpa, no caso a 3.5.1.36.
Administradores que encontrarem a versão comprometida devem assumir comprometimento total do site e adotar as seguintes medidas:
Excluir usuários maliciosos, arquivos e entradas de banco de dados
Reinstalar o core do WordPress, plugins e temas a partir de fontes confiáveis
Rotacionar todas as credenciais, incluindo WP, banco de dados, FTP/SSH, hospedagem e e-mail
Regenerar as chaves de segurança do WordPress, os salts
Fazer varredura em busca de malware remanescente e revisar os logs
O fornecedor também disponibiliza um guia manual de limpeza em várias etapas para WordPress e Joomla, que começa com a colocação do site em modo de manutenção e a criação de um backup.
Em seguida, os administradores devem remover usuários de administrador não autorizados, eliminar todos os componentes maliciosos e reinstalar arquivos de core, plugins e temas.
Também é recomendado redefinir todas as senhas e realizar uma nova varredura em busca de malware adicional.
As recomendações finais incluem reforçar a proteção do site com autenticação em dois fatores, atualizar os componentes para as versões mais recentes, restringir o acesso administrativo e usar senhas fortes e exclusivas.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...