Falha em plugin expõe sites WordPress a ataques de injeção de SQL

Segundo os pesquisadores do serviço PatchStack, uma falha em plugin expõe sites WordPress a ataques de injeção de SQL.

Atualmente instalado em mais de 30.000 sites, o WP Automatic permite que os administradores automatizem a importação de conteúdo (por exemplo, texto, imagens, vídeo) de várias fontes online e a publicação em seu site WordPress.

Agora, os hackers começaram a atacar uma vulnerabilidade de gravidade crítica no plugin WP Automatic para WordPress para criar contas de usuário com privilégios administrativos e plantar backdoors para acesso de longo prazo.

Falha em plugin expõe sites WordPress a ataques de injeção de SQL

Falha em plugin expõe sites WordPress a ataques de injeção de SQL
Falha em plugin expõe sites WordPress a ataques de injeção de SQL

Sim. Uma falha em plugin expõe sites WordPress a ataques de injeção de SQL. A vulnerabilidade explorada é identificada como CVE-2024-27956 e recebeu uma pontuação de gravidade de 9,9/10.

Foi divulgado publicamente por pesquisadores do serviço de mitigação de vulnerabilidade PatchStack em 13 de março e descrito como um problema de injeção de SQL que afeta as versões do WP Automatic anteriores a 3.9.2.0.

O problema está no mecanismo de autenticação do usuário do plugin, que pode ser contornado para enviar consultas SQL ao banco de dados do site. Os hackers podem usar consultas especialmente criadas para criar contas de administrador no site de destino.

Desde que o PatchStack divulgou o problema de segurança, o WPScan da Automattic observou mais de 5,5 milhões de ataques tentando aproveitar a vulnerabilidade, a maioria deles registrada em 31 de março.

WPScan relata que, após obter acesso de administrador ao site alvo, os invasores criam backdoors e ofuscam o código para torná-lo mais difícil de ser encontrado.

“Depois que um site WordPress é comprometido, os invasores garantem a longevidade de seu acesso criando backdoors e ofuscando o código”, diz o relatório do WPScan.

Para evitar que outros hackers comprometam o site explorando o mesmo problema e para evitar a detecção, os hackers também renomearam o arquivo vulnerável como “csv.php”.

Depois de obter o controle do site, o agente da ameaça geralmente instala plug-ins adicionais que permitem o upload de arquivos e a edição de código.

O WPScan fornece um conjunto de indicadores de comprometimento que podem ajudar os administradores a determinar se seu site foi hackeado.

Os administradores podem verificar sinais de que hackers assumiram o controle do site, procurando a presença de uma conta de administrador começando com “xtw” e arquivos chamados web.php e index.php, que são os backdoors plantados na campanha recente.

Para mitigar o risco de violação, os pesquisadores recomendam que os administradores do site WordPress atualizem o plugin WP Automatic para a versão 3.92.1 ou posterior.

O WPScan também recomenda que os proprietários de sites criem backups frequentes de seus sites para que possam instalar cópias limpas rapidamente em caso de comprometimento.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.