Tecnologia

Plugins do WordPress comprometem segurança e afetam 30 mil sites com backdoor

Por
2 min leitura
1104
0
Compartilhar
Plugins do WordPress comprometem segurança e afetam 30 mil sites com backdoor
Assim que a Wordfence detectou a violação, a empresa notificou os desenvolvedores dos plugins, levando ao lançamento de correções

Um ator malicioso modificou o código-fonte de pelo menos cinco plugins hospedados no WordPress.org para incluir scripts PHP maliciosos que criam novas contas com privilégios administrativos nos sites que os utilizam.

A equipe de Inteligência de Ameaças da Wordfence descobriu o ataque ontem, mas as injeções maliciosas parecem ter ocorrido no final da semana passada, entre 21 e 22 de junho.

Assim que a Wordfence descobriu a violação, a empresa notificou os desenvolvedores dos plugins, o que resultou no lançamento de correções ontem para a maioria dos produtos.

Juntos, os cinco plugins foram instalados em mais de 35.000 sites wordpress:

  • Social Warfare 4.4.6.4 a 4.4.7.1 (corrigido na versão 4.4.7.3)
  • Blaze Widget 2.2.5 a 2.5.2 (corrigido na versão 2.5.4)
  • Wrapper Link Element 1.0.2 a 1.0.3 (corrigido na versão 1.0.5)
  • Contact Form 7 Multi-Step Addon 1.0.4 a 1.0.5 (corrigido na versão 1.0.7)
  • Simply Show Hooks 1.2.1 a 1.2.2 (sem correção disponível ainda)
  • A Wordfence observa que não sabe como o ator malicioso conseguiu acessar o código-fonte dos plugins, mas uma investigação está em andamento.

Embora seja possível que o ataque impacte um número maior de plugins do WordPress, as evidências atuais sugerem que a violação está limitada ao conjunto mencionado de cinco plugins.

Operação de backdoor e IoCs

O código malicioso nos plugins infectados tenta criar novas contas de administrador e injetar spam de SEO no site comprometido.

Nesta fase, sabemos que o malware injetado tenta criar uma nova conta de usuário administrativo e depois envia esses detalhes de volta para o servidor controlado pelo atacante, explica a Wordfence.

Além disso, parece que o ator malicioso também injetou JavaScript malicioso no rodapé dos sites, o que parece adicionar spam de SEO por todo o site.

Os dados são transmitidos para o endereço IP 94.156.79[.]8, enquanto as contas de administrador criadas arbitrariamente são nomeadas “Options” e “PluginAuth,” dizem os pesquisadores.

Proprietários de sites que notarem tais contas ou tráfego para o endereço IP do atacante devem realizar uma varredura completa de malware e limpeza.

Se você tem algum desses plugins instalados, deve considerar sua instalação comprometida e entrar imediatamente em modo de resposta a incidentes. – Wordfence.

A Wordfence observa que alguns dos plugins do WordPress afetados foram temporariamente removidos do WordPress.org, o que pode resultar em avisos para os usuários, mesmo que estejam usando uma versão corrigida.

Escrito com informações da Bleeping Computer

Contrate um dos serviços da krsites.com.br
1104
0
Compartilhar
Posts relacionados
Tecnologia

Quina 7005 acumula e próximo prêmio salta para 30 milhões

Por
4 min leitura
Concurso 7005 da Quina não teve acertadores na faixa principal, elevando a expectativa para o próximo sorteio de 30 milhões de reais….
Tecnologia

Roblox: Acordo em Nevada reforça proteção infantil

Por
5 min leitura
A **Roblox proteção infantil** é o foco de um acordo histórico de US$ 12 milhões alcançado com o estado de Nevada, nos…
Tecnologia

Cerebras protocola IPO após acordo bilionário com OpenAI

Por
4 min leitura
A aguardada Cerebras IPO foi oficialmente protocolada nesta semana, marcando um ponto de virada para a fabricante de chips de inteligência artificial….
Assine a newsletters do CBL

Adicione seu e-mail e receba na sua caixa postar Breaking news, dicas e demais conteúdos direto da nossa redação.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *