AMP WP e RGPD compromete sites em Wordpress 🖥️🔓

Categoria : Segurança Visitas: 2205 Tempo de Leitura: 4 Minutos

Duas vulnerabilidades encontradas no Wordpress, durante o mês de novembro, podem ter comprometido milhares de sites. Uma dessas falhas de segurança está relacionada com um plugin de conformidade com o RGPD (Regime Geral de Proteção de Dados); a outra, com um plugin usado para criar páginas que carregam mais rapidamente.

Neste último caso, a vulnerabilidade permitia aos hackers injetarem código HTML malicioso na página principal – e não havia um processo de validação que permitisse que apenas os administradores do site pudessem fazer alterações na main page, como colocar banners de publicidade.

A nova versão do plugin já resolveu este problema; no entanto, os sites que ainda estiverem a correr a versão desatualizada ainda correm o risco de ver as suas páginas invadidas por utilizadores sem privilégios, que podem ainda assim injetar código malicioso ou anúncios não desejáveis, minar scripts e espalhar malware.

Já a outra falha grave de segurança foi detetada num plugin relacionado com o RGPD, tendo sido aproveitada por atacantes para controlar sites vulneráveis. A notícia foi avançada no blog da Defiant, criadora do plugin de segurança Wordfence para o Wordpress.

Os utilizadores de websites feitos em Wordpress foram aconselhados a fazer o update para a mais recente versão do plugin, que reparou o problema, ou então a remover a versão anterior.

Duas formas de exploração

Aparentemente, os hackers usaram dois métodos distintos para explorarem as vulnerabilidades. Uma delas, envolvia a modificação das definições de registo de utilizadores. A outra, era injetar ações maliciosas, que eram agendadas e executadas através do WP-Cron.

Uma das formas mais comuns de tentativa de ataque utilizando esta fragilidade terá sido a modificação arbitrária das definições, nos sites afetados. Ao permitir o registo de novos utilizadores e alterando o seu papel predefinido para administrador, os atacantes puderam simplesmente criar novos users com privilégios, fazer login e levar a cabo todas as ações que quisessem no website comprometido.

Existe ainda outro ataque, menos visível e mais difícil de identificar à primeira vista: injetando ações maliciosas no WP-Cron do site, os hackers puderam instalar uma backdoor muito persistente, que se auto-renegerava mesmo depois de ser removida.

Enquanto que uma grande variedade de atos maliciosos foram executados por esta via, outros tinham como base um outro famoso plugin do WordPress, o WooCommerce.

Qual o objetivo dos ataques?

Na maior parte das infeções, haverá um ou mais método que trazem algum benefício ao atacante. Quer seja através do envio de spam, alojamento de um esquema de phishing ou outra forma direta ou indireta de monetização, há sempre um objetivo claro identificado na triagem.

No entanto, apesar da rápida atuação na identificação destes casos, até agora só se chegou a scripts em backdoors de sites afetados por estes ataques. Não foi encontrado nenhum benefício direto para os hackers. E isto pode significar algumas coisas: é possível que os atacantes tenham, deliberadamente, atacado websites em massa para os venderem a outro hacker; eles podem também ter o seu próprio propósito, mais ainda não avançaram para uma segunda fase do processo de ataque.

Em qualquer dos casos, os sites infetados devem imediatamente trabalhar no sentido de identificar e remover quaisquer ameaças.

Indicadores de Ameaça

De seguida, vamos mostrar-lhe uma série de IOCs (Indicators of Compromise, ou Indicadores de Ameaça), que pode ser usada para identificar e fazer uma triagem aos casos similares a estes de que falamos. Não se esqueça que qualquer método usual pode ser alterado por um hacker e usado em qualquer altura, especialmente porque há um aumento de hackers a explorar estas vulnerabilidades.

IP mais usados:

• Admin Creation Method

109.234.39.250

109.234.37.214

• Cron Injection Method

46.39.65.176

195.123.213.91

Domínio de acesso

• pornmam.com

Malware Hash

• Admin Creation Method Backdoor

MD5: b6eba59622630b18235ba2d0ce4fcb65   SHA1: 577293e035cce3083f2fc68f684e014bf100faf3

• Cron Injection Method Backdoor

MD5: c62180f0d626d92e29e83778605dd8be SHA1: 83d9688605a948943b05df5c548bea6e1a7fe8da

Indicadores na base de dados

• Presença de contas sem autorização na base de utilizadores do website, incluindo os seguintes exemplos: t2trollherten e t3trollherten
• Uma entrada nas opções do seu website com uma option_name que comece com 2mb_autocode (se não for usada propositadamente)
• A opção default_role ativa para algo mais que “subscrever”, a não ser que tenha sido intencional
• A opção users_can_register permitida sem intenção

Plugins instalados

• 2MB Autocode (se não foi intencionalmente)

Conclusão

Esperamos que os detalhes que aqui revelamos possam ser usados para detetar e prevenir estes ataques. No entanto, os hacks podem ser alterados e afetar várias áreas diferentes de um website.

Tendo em conta que esta vulnerabilidade já foi descoberta e corrigida, é expectável que novos, únicos e sofisticados métodos de ataque surjam nos próximos tempos. Como sempre, é fundamental manter os plugins atualizados para prevenir que situações deste tipo possam prejudicar as empresas ou entidades. 

Catarina Sousa

A former journalist on newspapers and TV, now publicist and creative mind at her own agency. Passionate about writing, creating ads and watch Law & Order. Married, mom of two adorable cats.