O plugin de segurança All-In-One Security (AIOS) do WordPress, usado por mais de um milhão de sites WordPress, foi descoberto registrando senhas em plaintext a partir de tentativas de login do usuário no banco de dados do site, colocando a segurança da conta em risco.
AIOS é uma solução completa desenvolvida pela Updraft, que oferece firewall para aplicações web, proteção de conteúdo e ferramentas de segurança de login para sites WordPress, prometendo parar bots e prevenir ataques de força bruta.
Cerca de três semanas atrás, um usuário relatou que o plugin AIOS v5.1.9 não estava apenas registrando tentativas de login do usuário na tabela de banco de dados aiowps_audit_log, usada para rastrear logins, logouts e eventos de login falhados, mas também estava registrando a senha inserida.
O usuário expressou preocupação de que esta atividade viola vários padrões de conformidade de segurança, incluindo NIST 800-63 3, ISO 27000 e GDPR.
No entanto, o agente de suporte da Updraft respondeu dizendo que era um "bug conhecido" e fez uma promessa vaga sobre uma correção estar disponível na próxima versão.
Após perceber a criticidade do problema, o suporte ofereceu versões em desenvolvimento do próximo lançamento aos usuários preocupados duas semanas atrás.
Ainda assim, aqueles que tentaram instalar as compilações em desenvolvimento relataram problemas no site e que os logs de senha não foram removidos.
Finalmente, em 11 de julho, o fornecedor do AIOS lançou a versão 5.2.0, que inclui uma correção para evitar o salvamento de senhas em plaintext e limpa entradas antigas.
"O lançamento do AIOS 5.2.0 e atualizações mais recentes corrigiram um erro em 5.1.9 que resultou nas senhas dos usuários sendo adicionadas ao banco de dados WordPress em plaintext", diz o anúncio do lançamento.
"Isso seria um problema se os administradores do site [mal-intencionados] tentassem usar essas senhas em outros serviços onde seus usuários podem ter usado a mesma senha."
Se os detalhes de login das pessoas expostas não forem protegidos por autenticação de dois fatores nessas outras plataformas, administradores desonestos poderiam facilmente assumir suas contas.
Além do cenário admin malicioso, sites que usam AIOS correriam maior risco de invasões de hackers, pois um ator mal-intencionado que conseguisse acesso ao banco de dados do site poderia exfiltrar senhas de usuário em formato de plaintext.
No momento da escrita, as estatísticas do WordPress mostram que aproximadamente um quarto dos usuários do AIOS aplicaram a atualização para 5.2.0, então mais de 750.000 sites ainda permanecem vulneráveis.
Infelizmente, com o WordPress sendo um alvo comum para autores de ameaças, há a chance de alguns dos sites que usam AIOS já terem sido comprometidos, e considerando que o problema tem circulado online por três semanas agora, invasores tiveram muita oportunidade de aproveitar a resposta lenta do criador do plugin.
Além disso, é lamentável que em nenhum momento durante o período de exposição a Updraft tenha alertado seus usuários sobre o risco elevado de exposição, aconselhando-os sobre quais ações tomar.
Sites que usam AIOS agora devem atualizar para a versão mais recente e pedir aos usuários para redefinir suas senhas.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...