Uma campanha de exploração em larga escala está atacando sites WordPress que utilizam os plugins GutenKit e Hunk Companion, ambos vulneráveis a falhas críticas antigas que permitem execução remota de código (RCE).
A empresa de segurança Wordfence revelou que bloqueou 8,7 milhões de tentativas de ataque contra seus clientes em apenas dois dias: 8 e 9 de outubro.
A ofensiva explora três vulnerabilidades, identificadas como
CVE-2024-9234
,
CVE-2024-9707
e CVE-2024-11972, todas avaliadas como críticas (CVSS 9.8).
O
CVE-2024-9234
é uma falha sem autenticação no endpoint REST do plugin GutenKit, que possui cerca de 40 mil instalações.
Essa vulnerabilidade permite a instalação de plugins arbitrários sem necessidade de login.
Já os
CVE-2024-9707
e CVE-2024-11972 correspondem a falhas de ausência de autorização no endpoint themehunk-import REST do plugin Hunk Companion, com cerca de 8 mil instalações, permitindo também a instalação de plugins arbitrários.
Um atacante autenticado pode explorar essas falhas para inserir outro plugin vulnerável, que possibilita a execução remota de código.
As vulnerabilidades afetam as versões 2.1.0 e anteriores do GutenKit, além das versões 1.8.4 e anteriores (
CVE-2024-9707
) e 1.8.5 e anteriores (CVE-2024-11972) do Hunk Companion.
As correções foram disponibilizadas nas versões GutenKit 2.1.1, lançada em outubro de 2024, e Hunk Companion 1.9.0, lançada em dezembro de 2024.
No entanto, mesmo após quase um ano das atualizações, muitos sites ainda utilizam versões vulneráveis desses plugins.
Segundo análise da Wordfence, grupos criminosos hospedam no GitHub um plugin malicioso em um arquivo .ZIP chamado “up”.
Esse arquivo contém scripts ofuscados que permitem upload, download e exclusão de arquivos, além de alteração de permissões.
Um dos scripts, protegido por senha e disfarçado como componente do plugin All in One SEO, é usado para login automático do invasor como administrador.
Com esses recursos, os atacantes mantêm persistência no sistema, roubam ou inserem arquivos, executam comandos e capturam dados privados do site.
Quando não conseguem acesso direto a um backdoor completo via o pacote instalado, frequentemente adicionam outro plugin vulnerável chamado 'wp-query-console', que pode ser explorado para RCE sem autenticação.
A Wordfence listou diversos endereços IP que enviam grande volume dessas requisições maliciosas, informação útil para montar defesas contra os ataques.
Como indicadores de comprometimento, os pesquisadores recomendam que administradores verifiquem nos logs de acesso do site a presença de requisições para /wp-json/gutenkit/v1/install-active-plugin e /wp-json/hc/v1/themehunk-import.
Também é importante inspecionar os diretórios /up, /background-image-cropper, /ultra-seo-processor-wp, /oke e /wp-query-console em busca de arquivos ou pastas suspeitos.
A recomendação fundamental para administradores é manter todos os plugins atualizados com as versões mais recentes disponíveis oficialmente, minimizando o risco de exploração.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...