AMP WP e RGPD compromete sites em Wordpress 🖥️🔓
Categoria : Segurança Visitas: 2226 Tempo de Leitura: 4 Minutos
Duas vulnerabilidades encontradas no Wordpress, durante o mês de novembro, podem ter comprometido milhares de sites. Uma dessas falhas de segurança está relacionada com um plugin de conformidade com o RGPD (Regime Geral de Proteção de Dados); a outra, com um plugin usado para criar páginas que carregam mais rapidamente.
Neste último caso, a vulnerabilidade permitia aos hackers injetarem código HTML malicioso na página principal – e não havia um processo de validação que permitisse que apenas os administradores do site pudessem fazer alterações na main page, como colocar banners de publicidade.
A nova versão do plugin já resolveu este problema; no entanto, os sites que ainda estiverem a correr a versão desatualizada ainda correm o risco de ver as suas páginas invadidas por utilizadores sem privilégios, que podem ainda assim injetar código malicioso ou anúncios não desejáveis, minar scripts e espalhar malware.
Já a outra falha grave de segurança foi detetada num plugin relacionado com o RGPD, tendo sido aproveitada por atacantes para controlar sites vulneráveis. A notícia foi avançada no blog da Defiant, criadora do plugin de segurança Wordfence para o Wordpress.
Os utilizadores de websites feitos em Wordpress foram aconselhados a fazer o update para a mais recente versão do plugin, que reparou o problema, ou então a remover a versão anterior.
Duas formas de exploração
Aparentemente, os hackers usaram dois métodos distintos para explorarem as vulnerabilidades. Uma delas, envolvia a modificação das definições de registo de utilizadores. A outra, era injetar ações maliciosas, que eram agendadas e executadas através do WP-Cron.
Uma das formas mais comuns de tentativa de ataque utilizando esta fragilidade terá sido a modificação arbitrária das definições, nos sites afetados. Ao permitir o registo de novos utilizadores e alterando o seu papel predefinido para administrador, os atacantes puderam simplesmente criar novos users com privilégios, fazer login e levar a cabo todas as ações que quisessem no website comprometido.
Existe ainda outro ataque, menos visível e mais difícil de identificar à primeira vista: injetando ações maliciosas no WP-Cron do site, os hackers puderam instalar uma backdoor muito persistente, que se auto-renegerava mesmo depois de ser removida.
Enquanto que uma grande variedade de atos maliciosos foram executados por esta via, outros tinham como base um outro famoso plugin do WordPress, o WooCommerce.
Qual o objetivo dos ataques?
Na maior parte das infeções, haverá um ou mais método que trazem algum benefício ao atacante. Quer seja através do envio de spam, alojamento de um esquema de phishing ou outra forma direta ou indireta de monetização, há sempre um objetivo claro identificado na triagem.
No entanto, apesar da rápida atuação na identificação destes casos, até agora só se chegou a scripts em backdoors de sites afetados por estes ataques. Não foi encontrado nenhum benefício direto para os hackers. E isto pode significar algumas coisas: é possível que os atacantes tenham, deliberadamente, atacado websites em massa para os venderem a outro hacker; eles podem também ter o seu próprio propósito, mais ainda não avançaram para uma segunda fase do processo de ataque.
Em qualquer dos casos, os sites infetados devem imediatamente trabalhar no sentido de identificar e remover quaisquer ameaças.
Indicadores de Ameaça
De seguida, vamos mostrar-lhe uma série de IOCs (Indicators of Compromise, ou Indicadores de Ameaça), que pode ser usada para identificar e fazer uma triagem aos casos similares a estes de que falamos. Não se esqueça que qualquer método usual pode ser alterado por um hacker e usado em qualquer altura, especialmente porque há um aumento de hackers a explorar estas vulnerabilidades.
IP mais usados:
- Admin Creation Method
109.234.39.250
109.234.37.214
- Cron Injection Method
46.39.65.176
195.123.213.91
Domínio de acesso
- pornmam.com
Malware Hash
- Admin Creation Method Backdoor
MD5: b6eba59622630b18235ba2d0ce4fcb65 SHA1: 577293e035cce3083f2fc68f684e014bf100faf3
- Cron Injection Method Backdoor
MD5: c62180f0d626d92e29e83778605dd8be SHA1: 83d9688605a948943b05df5c548bea6e1a7fe8da
Indicadores na base de dados
- Presença de contas sem autorização na base de utilizadores do website, incluindo os seguintes exemplos: t2trollherten e t3trollherten
- Uma entrada nas opções do seu website com uma option_name que comece com 2mb_autocode (se não for usada propositadamente)
- A opção default_role ativa para algo mais que “subscrever”, a não ser que tenha sido intencional
- A opção users_can_register permitida sem intenção
Plugins instalados
- 2MB Autocode (se não foi intencionalmente)
Conclusão
Esperamos que os detalhes que aqui revelamos possam ser usados para detetar e prevenir estes ataques. No entanto, os hacks podem ser alterados e afetar várias áreas diferentes de um website.
Tendo em conta que esta vulnerabilidade já foi descoberta e corrigida, é expectável que novos, únicos e sofisticados métodos de ataque surjam nos próximos tempos. Como sempre, é fundamental manter os plugins atualizados para prevenir que situações deste tipo possam prejudicar as empresas ou entidades.
Gostou do nosso Blog? Subscreva já!
Comentários
Artigos Relacionados
Categoria : Geral Catarina Sousa
10 dicas para trabalhar melhor a partir de casa
Com o aumento constante do número de casos de coronavírus, parece ser seguro que nos próximos mes...
há 4 anos | Visitas: 8925 | Leitura: 4 Minutos
Ler mais..Categoria : Redes Sociais Catarina Sousa
EUA querem banir a app TikTok
Alguns senadores dos Estados Unidos pretendem que o famoso TikTok seja banido no país – ou pelo m...
há 4 anos | Visitas: 7033 | Leitura: 3 Minutos
Ler mais..Categoria : Geral Catarina Sousa
Fake News: saiba como as detectar
Não há dúvidas de que a internet hoje em dia se divide muito entre o que são notícias reais, co...
há 4 anos | Visitas: 7568 | Leitura: 5 Minutos
Ler mais..