Hackers exploram falha no plug-in de conformidade GDPR para WordPress
Hackers exploram falha no plug-in de conformidade GDPR para WordPress
Uma falha de segurança crítica que afeta um plug-in de conformidade com o GDPR para o WordPress foi explorada na natureza para controlar sites vulneráveis, e os usuários foram avisados.
O plugin WordPress GDPR Compliance , que tem mais de 100.000 instalações ativas, foi projetado para ajudar os administradores de sites e lojas on-line a tornarem-se compatíveis com o Regulamento Geral de Proteção de Dados (GDPR) da UE. Ele suporta plugins como Formulário de Contato, Formulários de Gravidade, Comentários do WordPress e WooCommerce.
Hackers mal-intencionados descobriram recentemente que o plugin é afetado por algumas falhas que podem ser exploradas para seqüestrar sites vulneráveis.
De acordo com pesquisadores da equipe Defiant's Wordfence, as vulnerabilidades podem ser exploradas por invasores não autenticados para obter acesso privilegiado a sites segmentados, adicionando novas contas de administrador.
O Wordfence viu dois tipos de ataques . No ataque mais comum, os hackers exploram as vulnerabilidades para modificar configurações e permitir que novos usuários se registrem. Eles também mudam o papel de novos usuários para “administrador”, o que facilita o acesso do administrador ao site.
A exploração, que foi automatizada, também garante que as alterações sejam revertidas depois que uma conta de administrador for obtida. Pesquisadores da Wordfence acreditam que isso é mais provável em um esforço para bloquear outros potenciais invasores e evitar levantar suspeitas.
Os atacantes fazem login usando a conta recém-criada e carregam um webshell PHP que permite que eles façam o que quiserem no site comprometido.
O Wordfence também viu backdoors instalados ao injetar ações maliciosas na agenda WP-Cron de um site. Embora essa seja uma técnica mais complexa, ela permite que os invasores implantem um backdoor persistente que possa ser regenerado caso seja removido.
Os invasores podem abusar de sites invadidos para vários fins, incluindo spam, phishing e outros esquemas de geração de dinheiro diretos ou indiretos. No entanto, o Wordfence diz que ainda tem que ver qualquer carga útil final.
"Esse comportamento pode significar várias coisas diferentes", disseram pesquisadores da Wordfence.
“É possível que esses invasores estejam armazenando hosts infectados para serem empacotados e vendidos por atacado para outro ator que tenha suas próprias intenções. Há também a chance de que esses atacantes tenham seus próprios objetivos em mente, mas ainda não iniciaram essa fase do ataque ”.
Logo após a notícia de que as falhas de Conformidade com o GDPR foram exploradas na natureza, o WordPress notificou o desenvolvedor e desativou o plug-in em sua loja oficial. O aplicativo foi rapidamente restabelecido depois que seus criadores lançaram a versão 1.4.3 em 7 de novembro, o que deve resolver as vulnerabilidades .
Os desenvolvedores do plugin aconselharam os usuários a atualizar suas instalações, mas também checam seus bancos de dados em busca de alterações não autorizadas, incluindo novas contas de usuários com privilégios de administrador.
Related: WordPress desabilita plugins que expõem sites de comércio eletrônico a ataques
Relacionados: Falha no WordPress sem correção leva à aquisição do site, execução de código
O plugin WordPress GDPR Compliance , que tem mais de 100.000 instalações ativas, foi projetado para ajudar os administradores de sites e lojas on-line a tornarem-se compatíveis com o Regulamento Geral de Proteção de Dados (GDPR) da UE. Ele suporta plugins como Formulário de Contato, Formulários de Gravidade, Comentários do WordPress e WooCommerce.
Hackers mal-intencionados descobriram recentemente que o plugin é afetado por algumas falhas que podem ser exploradas para seqüestrar sites vulneráveis.
De acordo com pesquisadores da equipe Defiant's Wordfence, as vulnerabilidades podem ser exploradas por invasores não autenticados para obter acesso privilegiado a sites segmentados, adicionando novas contas de administrador.
O Wordfence viu dois tipos de ataques . No ataque mais comum, os hackers exploram as vulnerabilidades para modificar configurações e permitir que novos usuários se registrem. Eles também mudam o papel de novos usuários para “administrador”, o que facilita o acesso do administrador ao site.
A exploração, que foi automatizada, também garante que as alterações sejam revertidas depois que uma conta de administrador for obtida. Pesquisadores da Wordfence acreditam que isso é mais provável em um esforço para bloquear outros potenciais invasores e evitar levantar suspeitas.
Os atacantes fazem login usando a conta recém-criada e carregam um webshell PHP que permite que eles façam o que quiserem no site comprometido.
O Wordfence também viu backdoors instalados ao injetar ações maliciosas na agenda WP-Cron de um site. Embora essa seja uma técnica mais complexa, ela permite que os invasores implantem um backdoor persistente que possa ser regenerado caso seja removido.
Os invasores podem abusar de sites invadidos para vários fins, incluindo spam, phishing e outros esquemas de geração de dinheiro diretos ou indiretos. No entanto, o Wordfence diz que ainda tem que ver qualquer carga útil final.
"Esse comportamento pode significar várias coisas diferentes", disseram pesquisadores da Wordfence.
“É possível que esses invasores estejam armazenando hosts infectados para serem empacotados e vendidos por atacado para outro ator que tenha suas próprias intenções. Há também a chance de que esses atacantes tenham seus próprios objetivos em mente, mas ainda não iniciaram essa fase do ataque ”.
Logo após a notícia de que as falhas de Conformidade com o GDPR foram exploradas na natureza, o WordPress notificou o desenvolvedor e desativou o plug-in em sua loja oficial. O aplicativo foi rapidamente restabelecido depois que seus criadores lançaram a versão 1.4.3 em 7 de novembro, o que deve resolver as vulnerabilidades .
Os desenvolvedores do plugin aconselharam os usuários a atualizar suas instalações, mas também checam seus bancos de dados em busca de alterações não autorizadas, incluindo novas contas de usuários com privilégios de administrador.
Related: WordPress desabilita plugins que expõem sites de comércio eletrônico a ataques
Relacionados: Falha no WordPress sem correção leva à aquisição do site, execução de código
Comentários
Postar um comentário