Hackers miram 1,5 milhão de sites WordPress com a exploração de falhas em plugin de consentimento de cookies
25 de Maio de 2023

Ataques contínuos estão visando uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada sem autenticação em um plugin de consentimento de cookies do WordPress chamado Beautiful Cookie Consent Banner, com mais de 40.000 instalações ativas.

Em ataques XSS, os atores de ameaças inserem scripts JavaScript maliciosos em sites vulneráveis que serão executados nos navegadores da web dos visitantes.

O impacto pode incluir acesso não autorizado a informações sensíveis, sequestro de sessão, infecções por malware por meio de redirecionamentos para sites maliciosos ou comprometimento completo do sistema do alvo.

A empresa de segurança do WordPress Defiant, que detectou os ataques, diz que a vulnerabilidade em questão também permite que atacantes não autenticados criem contas de administrador falsas em sites WordPress que executam versões de plugin não corrigidas (até e incluindo a versão 2.10.1).

A falha de segurança explorada nesta campanha foi corrigida em janeiro com o lançamento da versão 2.10.2.

"De acordo com nossos registros, a vulnerabilidade tem sido ativamente atacada desde 5 de fevereiro de 2023, mas este é o maior ataque que vimos contra ela", disse o analista de ameaças Ram Gall.

"Bloqueamos quase 3 milhões de ataques contra mais de 1,5 milhão de sites, de quase 14.000 endereços IP desde 23 de maio de 2023, e os ataques continuam."

Apesar da natureza em grande escala desta campanha de ataque contínuo, Gall diz que o ator de ameaça usa um exploit mal configurado que provavelmente não implantará um payload, mesmo ao atacar um site WordPress que executa uma versão de plugin vulnerável.

Ainda assim, os administradores ou proprietários de sites que usam o plugin Beautiful Cookie Consent Banner são aconselhados a atualizá-lo para a versão mais recente, porque mesmo um ataque falhado pode corromper a configuração do plugin armazenada na opção nsc_bar_bannersettings_json.

As versões corrigidas do plugin também foram atualizadas para se reparar no caso de o site ter sido alvo desses ataques.

Embora a onda atual de ataques possa não ser capaz de injetar sites com um payload malicioso, o ator de ameaça por trás desta campanha poderia resolver esse problema a qualquer momento e potencialmente infectar quaisquer sites que permaneçam expostos.

Na semana passada, os atores de ameaças também começaram a sondar a internet em busca de sites WordPress que executam versões vulneráveis dos plugins Essential Addons para Elementor e WordPress Advanced Custom Fields.

As campanhas começaram após o lançamento de exploits de prova de conceito (PoC), permitindo que atacantes não autenticados sequestrassem sites após redefinir senhas de administrador e obter acesso privilegiado, respectivamente.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...