Hackers começaram a mirar uma vulnerabilidade crítica de gravidade no plugin WP Automatic para WordPress, com objetivo de criar contas de usuário com privilégios administrativos e plantar backdoors para acesso de longo prazo.
Atualmente instalado em mais de 30.000 sites, o WP Automatic permite que administradores automatizem a importação de conteúdo (por exemplo, texto, imagens, vídeo) de várias fontes online e publiquem em seu site WordPress.
A vulnerabilidade explorada é identificada como
CVE-2024-27956
e recebeu uma pontuação de gravidade de 9.9/10.
Ela foi divulgada publicamente por pesquisadores no serviço de mitigação de vulnerabilidades PatchStack em 13 de março e descrita como um problema de injeção SQL que impacta versões do WP Automatic anteriores a 3.9.2.0.
O problema está no mecanismo de autenticação de usuário do plugin, que pode ser contornado para submeter consultas SQL ao banco de dados do site.
Hackers podem usar consultas especialmente elaboradas para criar contas de administrador no site alvo.
Desde que o PatchStack divulgou o problema de segurança, o WPScan da Automattic observou mais de 5,5 milhões de ataques tentando explorar a vulnerabilidade, a maioria deles registrada em 31 de março.
O WPScan relata que, após obter acesso de admin ao site alvo, os atacantes criam backdoors e ofuscam o código para torná-lo mais difícil de encontrar.
“Uma vez que um site WordPress é comprometido, os atacantes garantem a longevidade do seu acesso criando backdoors e ofuscando o código,” de acordo com o relatório do WPScan.
Para impedir que outros hackers comprometam o site explorando o mesmo problema e para evitar detecção, os hackers também renomeiam o arquivo vulnerável para “csv.php”.
Uma vez que conseguem o controle do site, o ator da ameaça frequentemente instala plugins adicionais que permitem o upload de arquivos e a edição de código.
O WPScan fornece um conjunto de indicadores de comprometimento que podem ajudar os administradores a determinar se seu site foi hackeado.
Administradores podem verificar sinais de que hackers tomaram controle do site procurando pela presença de uma conta de admin iniciada com "xtw" e arquivos nomeados web.php e index.php, que são os backdoors plantados na campanha recente.
Para mitigar o risco de serem violados, os pesquisadores recomendam que administradores de sites WordPress atualizem o plugin WP Automatic para a versão 3.92.1 ou posterior.
O WPScan também recomenda que os proprietários de sites criem backups frequentes do site para que possam instalar cópias limpas rapidamente em caso de comprometimento.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...