Share This Article
O WordPress é um dos gerenciadores de conteúdo (CMS) mais utilizados atualmente. Sendo assim, também carrega um fardo de ser um dos mais atacados e explorados.
A novidade (ou não), é que sites WordPress estão sendo alvo de um desconhecido malware (ou backdoor, como verá adiante) para Linux que explora falhas em diversos plugins e temas, para enfim comprometer sistemas vulneráveis.
“Se os sites utilizam versões desatualizadas destes plugins, sem as devidas correções aplicadas, JavaScripts maliciosos poderão ser injetados nas páginas-alvo“, informou o fornecedor de segurança russo Doctor Web em um relatório publicado na semana passada. “Como resultado, quando os usuários clicam em qualquer área de uma página atacada, serão direcionados para outros sites“.
Estes ataques utilizam como base uma lista de vulnerabilidades conhecidas presentes em 19 plugins e temas diferentes que provavelmente estão instalados em um típico site WordPress, que são utilizadas para implantar um código malicioso em um site específico, podendo desta forma expandir ainda mais a rede de sites comprometidos.
Ele também é capaz de injetar um código JavaScript recuperado de um servidor remoto para redirecionar os visitantes do site para um que seja controlado pelo invasor.
A empresa Doctor Web informou que identificou uma segunda versão deste backdoor, que utiliza um novo domínio de comando e controle (C2), bem como uma lista atualizada de falhas abrangendo 11 plugins adicionais, elevando o total para 30.
Os plugins e temas-alvo são os seguintes:
- WP Live Chat Support
- Yuzo Related Posts
- Yellow Pencil Visual CSS Style Editor
- Easy WP SMTP
- WP GDPR Compliance
- Newspaper (CVE-2016-10972)
- Thim Core
- Smart Google Code Inserter (discontinued as of January 28, 2022)
- Total Donations
- Post Custom Templates Lite
- WP Quick Booking Manager
- Live Chat with Messenger Customer Chat by Zotabox
- Blog Designer
- WordPress Ultimate FAQ (CVE-2019-17232 e CVE-2019-17233)
- WP-Matomo Integration (WP-Piwik)
- ND Shortcodes
- WP Live Chat
- Coming Soon Page and Maintenance Mode
- Hybrid
- Brizy
- FV Flowplayer Video Player
- WooCommerce
- Coming Soon Page & Maintenance Mode
- Onetone
- Simple Fields
- Delucks SEO
- Poll, Survey, Form & Quiz Maker by OpinionStage
- Social Metrics Tracker
- WPeMatico RSS Feed Fetcher, and
- Rich Reviews
Uma nova funcionalidade da ameaça
Dizem que ambas as variantes incluem um método não implementado para força bruta de contas admin do WordPress, embora não esteja claro se é uma versão nova da anterior ou se é uma funcionalidade que ainda não foi testada.
“Se tal opção for implementada em versões mais recentes do backdoor, os cibercriminosos poderão até mesmo atacar com sucesso alguns destes sites que usam versões atuais de plugins com vulnerabilidades corrigidas“, disse a empresa.
Ataques similares ou relacionados?
A divulgação ocorre semanas após o Fortinet FortiGuard Labs ter detalhado outro botnet chamado GoTrim, projetado para executar ataques de força bruta em sites auto-hospedados (mais conhecidos como algumas hospedagens compartilhadas em que um site em WordPress é gerado de forma automática, etc) para assumir o controle destes sites.
Em dezembro passado, a empresa Sucuri observou que mais de 15 mil sites WordPress foram invadidos como parte de uma campanha maliciosa para redirecionar os visitantes para falsos portais de perguntas e respostas. O número de infecções ativamente gira em torno 9.314.
A GoDaddy, em junho de 2022, também compartilhou informações sobre sistema de direcionamento de tráfego (TDS) conhecido como Parrot, onde foi observado que o dito-cujo estava visando sites WordPress por meio de um JavaScript malicioso que lançava um malware adicional nos sistemas invadidos.
Recomendações de segurança
Recomenda-se que os usuários do WordPress mantenham todos os componentes da plataforma atualizados, incluindo complementos e temas de terceiros. Também é aconselhável utilizar logins e senhas fortes para proteger suas contas. Além disso, é fortemente recomendado o uso de um WAF (Firewall de Aplicação Web) para proteger o seu site contra ataques. Soluções como Gocache, Bunny e Cloudflare fornecem uma boa proteção e possuem preços acessíveis.
Créditos:
https://thehackernews.com/2023/01/wordpress-security-alert-new-linux.html
Créditos da imagem usada na capa do post: