Hackers estão mirando no vulnerável plugin Elementor do Wordpress depois que uma prova de conceito foi divulgada
19 de Maio de 2023

Hackers estão agora explorando ativamente versões vulneráveis do plugin Essential Addons para Elementor em milhares de sites WordPress em varreduras em massa na internet, tentando explorar uma falha crítica de redefinição de senha de conta divulgada no início do mês.

A falha de gravidade crítica é rastreada como CVE-2023-32243 e afeta as versões 5.4.0 a 5.7.1 do Essential Addons para Elementor, permitindo que atacantes não autenticados redefinam arbitrariamente as senhas das contas de administrador e assumam o controle dos sites.

A falha que afetou mais de um milhão de sites foi descoberta pela PatchStack em 8 de maio de 2023 e corrigida pelo fornecedor em 11 de maio, com o lançamento da versão 5.7.2 do plugin.

Em 14 de maio de 2023, os pesquisadores publicaram um exploit de prova de conceito (PoC) no GitHub, tornando a ferramenta amplamente disponível para atacantes.

Na época, um leitor do BleepingComputer e proprietário de site relatou que seu site foi atingido por hackers que redefiniram a senha do administrador aproveitando a falha, mas a escala da exploração era desconhecida.

Um relatório da Wordfence publicado ontem fornece mais informações, com a empresa afirmando ter observado milhões de tentativas de sondagem para a presença do plugin em sites e ter bloqueado pelo menos 6.900 tentativas de exploração.

No dia seguinte à divulgação da falha, a Wordfence registrou 5.000.000 de varreduras procurando pelo arquivo 'readme.txt' do plugin, que contém informações da versão do plugin e, portanto, determina se um site é vulnerável.

"Embora existam serviços que sondam dados de instalação para fins legítimos, acreditamos que esses dados indicam que os atacantes começaram a procurar por sites vulneráveis assim que a vulnerabilidade foi divulgada", comenta a Wordfence no relatório.

A maioria dessas solicitações veio de apenas dois endereços IP, '185.496.220.26' e '185.244.175.65'.

Quanto às tentativas de exploração, o endereço IP '78.128.60.112' teve um volume considerável, utilizando o exploit PoC lançado no GitHub.

Outros IPs atacantes de alto escalão contam entre 100 e 500 tentativas.

Os proprietários de sites que usam o plugin 'Essential Addons para Elementor' são aconselhados a aplicar a atualização de segurança disponível instalando imediatamente a versão 5.7.2 ou posterior.

"Considerando o quão facilmente essa vulnerabilidade pode ser explorada com sucesso, recomendamos fortemente que todos os usuários do plugin atualizem o mais rápido possível para garantir que seu site não seja comprometido por essa vulnerabilidade", aconselha a Wordfence.

Além disso, os administradores do site devem usar os indicadores de comprometimento listados no relatório da Wordfence e adicionar os endereços IP ofensivos a uma lista de bloqueio para interromper esses e futuros ataques.

Os usuários do pacote de segurança gratuito da Wordfence estarão protegidos contra o CVE-2023-32243 em 20 de junho de 2023, portanto, atualmente também estão expostos.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...