Atacantes exploram vulnerabilidade no plug-in BackupBuddy do WordPress

Atacantes exploram vulnerabilidade no plug-in BackupBuddy do WordPress. A falha crítica é mais um dos milhares de problemas de segurança relatados em plugins do WordPress.

Os invasores estão explorando ativamente uma vulnerabilidade crítica no BackupBuddy, um plug-in do WordPress que cerca de 140.000 sites estão usando para fazer backup de suas instalações.

A vulnerabilidade permite que os invasores leiam e baixem arquivos arbitrários de sites afetados, incluindo aqueles que contêm informações de configuração e dados confidenciais, como senhas, que podem ser usados ​​para comprometer ainda mais.

O fornecedor de segurança WordPress Wordfence relatou ter observado ataques direcionados à falha a partir de 26 de agosto e disse que bloqueou cerca de 5 milhões de ataques desde então. O desenvolvedor do plug-in, iThemes, lançou um patch para a falha em 2 de setembro, mais de uma semana após o início dos ataques. Isso levanta a possibilidade de que pelo menos alguns sites do WordPress que usam o software tenham sido comprometidos antes que uma correção fosse disponibilizada para a vulnerabilidade.

Um bug de passagem de diretório

Em uma declaração em seu site, a iThemes descreveu a vulnerabilidade de passagem de diretório como impactando sites que executam o BackupBuddy versões 8.5.8.0 a 8.7.4.1 . Ele pediu aos usuários do plug-in que atualizem imediatamente para o BackupBuddy versão 8.75, mesmo que não estejam usando uma versão vulnerável do plug-in.

Esta vulnerabilidade pode permitir que um invasor visualize o conteúdo de qualquer arquivo em seu servidor que possa ser lido pela instalação do WordPress”, alertou o fabricante do plug-in.

Os alertas do iThemes forneceram orientação sobre como os operadores de sites podem determinar se seu site foi comprometido e as etapas que podem ser tomadas para restaurar a segurança. Essas medidas incluíram redefinir a senha do banco de dados, alterar seus sais do WordPress e girar chaves de API e outros segredos em seu arquivo de configuração do site.

O Wordfence disse que viu invasores usando a falha para tentar recuperar “arquivos confidenciais, como o arquivo /wp-config.php e /etc/passwd, que podem ser usados ​​para comprometer ainda mais a vítima“.

Segurança do plug-in do WordPress: um problema endêmico

A falha do BackupBuddy é apenas uma das milhares de falhas que foram divulgadas em ambientes WordPress – quase todas envolvendo plug-ins – nos últimos anos.

Na semana passada anunciamos aqui no blog Minuto da Segurança um Zero-day no plugin WPGateway WordPress explorado ativamente em ataques a mais de 280.000 sites. WPGateway  é um plugin do WordPress que permite aos administradores simplificar várias tarefas, incluindo configurar e fazer backup de sites e gerenciar temas e plugins a partir de um painel central.

Em um relatório no início deste ano, a iThemes disse que identificou um total de 1.628 vulnerabilidades do WordPress divulgadas em 2021 – e mais de 97% delas impactaram plug-ins. Quase metade (47,1%) foi classificada como de gravidade alta a crítica. E, preocupantemente, 23,2% dos plug-ins vulneráveis ​​não tinham correção conhecida .

Uma varredura rápida do National Vulnerability Database (NVD) pela Dark Reading mostrou que várias dezenas de vulnerabilidades que afetam os sites do WordPress foram divulgadas até agora apenas na primeira semana de setembro.

Plug-ins vulneráveis ​​não são a única preocupação dos sites WordPress; plug-ins maliciosos são outro problema. Um estudo em larga escala de mais de 400.000 sites conduzidos por pesquisadores do Instituto de Tecnologia da Geórgia descobriu impressionantes 47.337 plug-ins maliciosos instalados em 24.931 sites, a maioria deles ainda ativos.

Sounil Yu, CISO da JupiterOne, diz que os riscos inerentes aos ambientes WordPress são como aqueles presentes em qualquer ambiente que aproveite plug-ins, integrações e aplicativos de terceiros para estender a funcionalidade.

Assim como nos smartphones, esses componentes de terceiros estendem os recursos do produto principal, mas também são problemáticos para as equipes de segurança porque aumentam significativamente a superfície de ataque do produto principal“, explica ele, acrescentando que a verificação desses produtos também é um desafio. devido ao seu grande número e falta de proveniência clara.

As equipes de segurança têm abordagens rudimentares, na maioria das vezes dando uma olhada superficial no que chamo de três Ps: popularidade, propósito e permissões“, observa Yu. “Semelhante às lojas de aplicativos gerenciadas pela Apple e pelo Google, mais verificações precisam ser feitas pelos mercados para garantir que [plug-ins, integrações e aplicativos de terceiros] maliciosos não criem problemas para seus clientes”, observa ele.

Outro problema é que, embora o WordPress seja amplamente usado , muitas vezes é gerenciado por profissionais de marketing ou web design e não por profissionais de TI ou segurança, diz Bud Broomhead, CEO da Viakoo.

Instalar é fácil e remover é uma reflexão tardia ou nunca feito”, diz Broomhead ao Dark Reading. “Assim como a superfície de ataque mudou para IoT/OT/ICS, os agentes de ameaças visam sistemas não gerenciados pela TI, especialmente aqueles que são amplamente usados ​​como o WordPress.”

Broomhead acrescenta: “Mesmo com o WordPress emitindo alertas sobre os plug-ins serem vulnerabilidades, outras prioridades além da segurança podem atrasar a remoção de plug-ins maliciosos”.

Fonte: Dark Reading

Veja também:

Sobre mindsecblog 1772 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!