Três equipes de segurança publicaram alertas sobre vulnerabilidades. Em um dos casos, golpistas criaram páginas para distribuir complementos adulterados com ‘porta dos fundos’. As empresas de segurança Prevailion, WebARX e WordFence estão alertando para diferentes ataques contra donos de sites que utilizam o sistema de gerenciamento de conteúdo WordPress.
Os ataques podem prejudicar os sites ou até os visitantes das páginas, que podem ser modificadas para enviar códigos maliciosos, anúncios falsos ou redirecionamentos.
O WordPress é um programa usado para criar todo tipo de site. Embora tenha sido idealizado para a publicação de blogs, a plataforma conta com uma grande variedade de temas (personalizações visuais) e complementos que ampliam suas funcionalidades, facilitando a criação de páginas comerciais, fóruns e até lojas de e-commerce.
Páginas com versões adulteradas de complementos e temas para WordPress
Prevailion/Divulgação
A fraude detalhada pela Prevailion, batizada de “PHP’s Labyrinth”, teria atingido pelo menos 20 mil websites construídos com WordPress. Os golpistas criaram 30 sites para oferecer temas e complementos piratas, copiados de outros desenvolvedores. Os mais populares foram o “Ultimate Support Chat”, o “Woocomerence Product filter” e “Slider Revolution”.
Os temas e complementos são distribuídos com uma modificação que insere peças publicitárias quando ativados no site. A maioria dos anúncios é benigna, mas algumas das peças oferecem programas indesejados que podem baixar outros softwares maliciosos no computador, caso o visitante concorde com a instalação.
Os componentes também se conectam a um servidor de controle, agindo como uma “porta dos fundos” para os hackers.
Anúncio disfarça aplicativo indesejado para macOS, da Apple, de ‘atualização de software’. Publicidade aparece em sites que instalaram complementos
Prevailion/Divulgação
A WordFence, por sua vez, alertou que hackers estão se aproveitando de falhas no ThemeREX Addons e no Duplicator Plugin.
A WordFence estima que o Duplicator Plugin esteja instalado em 1 milhão de sites. A brecha permite que um hacker baixe arquivos do servidor web, o que pode expor certas informações – entre elas a senha do banco de dados, capaz de comprometer todo o site se alguma senha for repetida ou se o banco de dados não bloquear acessos externos. Administradores podem instalar a versão do Duplicator Plugin 1.3.28 ou outra mais recente para protegerem suas páginas.
Já o ThemeREX Addons faz parte de mais de 460 temas para o WordPress e estaria em uso em pelo menos 44 mil sites. A brecha está sendo usada por hackers para tomar o controle das páginas, permitindo todo tipo de alteração no conteúdo e a execução de comandos no servidor. Não há atualização para corrigir a falha e a recomendação é desativar o componente.
Por fim, a WebARX alertou para uma falha grave no importador de conteúdo do ThemeGrill (ThemeGrill Demo Importer). A vulnerabilidade pode ser usada para apagar todo o conteúdo do site e conseguir acesso à instalação do WordPress.
Se a brecha apenas removesse o conteúdo, a solução seria simples – bastaria restaurar os dados. Porém, como o hacker também ganha acesso ao painel de administração, ele pode executar comandos no servidor e instalar outros arquivos, o que vai exigir uma análise mais aprofundada para garantir que o site esteja livre de invasores. No mínimo, o WordPress precisará ser completamente reinstalado.
A brecha é fácil de ser explorada, exigindo apenas o acesso a um endereço específico pelo navegador web. Não são necessárias outras ferramentas.
Para corrigir o problema, é necessário instalar o ThemeGrill Demo Importer 1.6.3. O desenvolvedor observou, porém, que a melhor medida é simplesmente desativar o componente. Depois que ele foi usado para realizar uma importação de conteúdo, ele não precisa permanecer ativo.
Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com
Ilustração: G1
Comentar