Plugins do WordPress comprometidos
26 de Junho de 2024

Um ator de ameaça modificou o código-fonte de pelo menos cinco plugins hospedados no WordPress.org para incluir scripts PHP maliciosos que criam novas contas com privilégios administrativos em sites que os utilizam.

O ataque foi descoberto pela equipe de Threat Intelligence do Wordfence ontem, mas as injeções maliciosas parecem ter ocorrido no final da semana passada, entre 21 e 22 de junho.

Assim que o Wordfence descobriu a violação, a empresa notificou os desenvolvedores dos plugins, o que resultou na liberação de patches ontem para a maioria dos produtos.

Juntos, os cinco plugins têm sido instalados em mais de 35.000 sites:

- Social Warfare 4.4.6.4 a 4.4.7.1 (corrigido na versão 4.4.7.3)
- Blaze Widget 2.2.5 a 2.5.2 (corrigido na versão 2.5.4)
- Wrapper Link Element 1.0.2 a 1.0.3 (corrigido na versão 1.0.5)
- Contact Form 7 Multi-Step Addon 1.0.4 a 1.0.5 (corrigido na versão 1.0.7)
- Simply Show Hooks 1.2.1 a 1.2.2 (ainda sem correção disponível)

O Wordfence observa que ainda não sabe como o ator de ameaça conseguiu acessar o código-fonte dos plugins, mas uma investigação está em curso.

Embora seja possível que o ataque impacte um número maior de plugins do WordPress, as evidências atuais sugerem que o comprometimento está limitado ao conjunto mencionado de cinco.

O código malicioso nos plugins infectados tenta criar novas contas de admin e injetar spam de SEO no site comprometido.

“Neste estágio, sabemos que o malware injetado tenta criar uma nova conta de usuário administrativo e, em seguida, envia esses detalhes de volta para o servidor controlado pelo atacante”, explica o Wordfence.

Além disso, parece que o ator de ameaça também injetou JavaScript malicioso no rodapé dos sites, que parece adicionar spam de SEO por todo o site.

Os dados são transmitidos para o endereço IP 94.156.79[.]8, enquanto as contas admin criadas arbitrariamente são nomeadas “Options” e “PluginAuth”, dizem os pesquisadores.

Os proprietários de sites que notarem tais contas ou tráfego para o endereço IP do atacante devem realizar uma varredura completa de malware e limpeza.

O Wordfence observa que alguns dos plugins impactados foram temporariamente retirados do WordPress.org, o que pode resultar em avisos para os usuários mesmo se eles usarem uma versão corrigida.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...