Hackers exploram falha em plugin do WordPress Elementor Pro com 11 milhões de instalações
3 de Abril de 2023

Hackers estão ativamente explorando uma vulnerabilidade de alta gravidade no popular plugin do WordPress Elementor Pro, usado por mais de onze milhões de sites.

O Elementor Pro é um plugin construtor de páginas do WordPress que permite aos usuários construir sites com aparência profissional sem saber codificar, apresentando drag and drop, construção de temas, uma coleção de modelos, suporte a widgets personalizados e um construtor do WooCommerce para lojas online.

Essa vulnerabilidade foi descoberta pelo pesquisador Jerome Bruandet da NinTechNet em 18 de março de 2023, que compartilhou detalhes técnicos nesta semana sobre como o bug pode ser explorado quando instalado junto com o WooCommerce.

O problema, que afeta a versão 3.11.6 e todas as versões anteriores, permite que usuários autenticados, como clientes de loja ou membros do site, alterem as configurações do site e até mesmo assumam o controle completo do site.

O pesquisador explicou que a falha se refere a um controle de acesso quebrado no módulo WooCommerce do plugin ("elementor-pro/modules/woocommerce/module"), permitindo que qualquer pessoa modifique as opções do WordPress no banco de dados sem validação adequada.

A falha é explorada por meio de uma ação AJAX vulnerável, "pro_woocommerce_update_page_option", que sofre com validação de entrada mal implementada e falta de verificações de capacidade.

"Um atacante autenticado pode aproveitar a vulnerabilidade para criar uma conta de administrador ativando o registro e definindo a função padrão como "administrador", alterar o endereço de e-mail do administrador ou redirecionar todo o tráfego para um site malicioso externo, alterando o siteurl, entre muitas outras possibilidades", explicou Bruandet em um texto técnico sobre o bug.

É importante notar que, para explorar a falha em particular, o plugin WooCommerce também deve estar instalado no site, o que ativa o módulo vulnerável correspondente no Elementor Pro.

A empresa de segurança do WordPress, PatchStack, informou que hackers estão explorando ativamente essa vulnerabilidade do plugin Elementor Pro para redirecionar visitantes para domínios maliciosos ou fazer upload de backdoors para o site comprometido.

A PatchStack diz que a backdoor enviada nesses ataques é nomeada como wp-resortpark.zip, wp-rate.php ou lll.zip.

Embora não tenham sido fornecidos muitos detalhes sobre essas backdoors, o BleepingComputer encontrou uma amostra do arquivo lll.zip, que contém um script PHP que permite a um atacante remoto fazer upload de arquivos adicionais para o servidor comprometido.

Essa backdoor permitiria ao atacante obter acesso completo ao site WordPress, seja para roubar dados ou instalar código malicioso adicional.

A PatchStack diz que a maioria dos ataques direcionados a sites vulneráveis se origina dos seguintes três endereços IP, portanto, é sugerido adicioná-los a uma lista de bloqueio:
Se o seu site usa o Elementor Pro, é essencial atualizar para a versão 3.11.7 ou posterior (a mais recente disponível é 3.12.0) o mais rápido possível, pois os hackers já estão mirando em sites vulneráveis.

Na semana passada, o WordPress atualizou forçadamente o plugin WooCommerce Payments para lojas online para corrigir uma vulnerabilidade crítica que permitia que atacantes não autenticados obtivessem acesso de administrador a sites vulneráveis.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...