Pouco tempo depois da revelação de uma falha grave, agora os hackers miram o plugin Wordpress Essential Addons for Elementor.
Sim. Os hackers agora estão investigando ativamente as versões vulneráveis do plug-in Essential Addons for Elementor em milhares de sites WordPress em varreduras massivas da Internet, tentando explorar uma falha crítica de redefinição de senha de conta divulgada no início do mês.
Hackers miram o plugin Wordpress Essential Addons for Elementor
A falha de gravidade crítica é rastreada como CVE-2023-32243 e afeta os complementos essenciais para as versões 5.4.0 a 5.7.1 do Elementor, permitindo que invasores não autenticados redefinam arbitrariamente as senhas das contas de administrador e assumam o controle dos sites.
A falha que afetou mais de um milhão de sites foi descoberta pelo PatchStack em 8 de maio de 2023 e corrigida pelo fornecedor em 11 de maio, com o lançamento da versão 5.7.2 do plugin.
Em 14 de maio de 2023, os pesquisadores publicaram uma exploração de prova de conceito (PoC) no GitHub, tornando a ferramenta amplamente disponível para os invasores.
Na época, um leitor do BleepingComputer e proprietário do site relatou que seu site foi atingido por hackers que redefiniram a senha do administrador aproveitando a falha. Ainda assim, a escala da exploração era desconhecida.
Um relatório do Wordfence publicado ontem lança mais luz, com a empresa alegando observar milhões de tentativas de sondagem para a presença do plug-in em sites e bloqueou pelo menos 6.900 tentativas de exploração.
No dia seguinte à divulgação da falha, o WordFence registrou 5.000.000 varreduras de sondagem procurando o arquivo ‘readme.txt’ do plug-in, que contém as informações da versão do plug-in e, portanto, determina se um site é vulnerável.
“Embora existam serviços que investigam dados de instalação para fins legítimos, acreditamos que esses dados indicam que os invasores começaram a procurar sites vulneráveis assim que a vulnerabilidade foi divulgada”, comenta a Wordfence no relatório.
A maioria dessas solicitações veio de apenas dois endereços IP, ‘185.496.220.26’ e ‘185.244.175.65’.
Quanto às tentativas de exploração, o endereço IP ‘78.128.60.112’ teve um volume considerável, utilizando o exploit PoC lançado no GitHub. Outros IPs de ataque de alto escalão contam entre 100 e 500 tentativas.
Os proprietários de sites que usam o plug-in ‘Essential Addons for Elementor’ são aconselhados a aplicar a atualização de segurança disponível instalando a versão 5.7.2 ou posterior imediatamente.
“Considerando a facilidade com que essa vulnerabilidade pode ser explorada com sucesso, recomendamos que todos os usuários do plug-in atualizem o mais rápido possível para garantir que seu site não seja comprometido por essa vulnerabilidade”, aconselha Wordfence.
Além disso, os administradores do site devem usar os indicadores de comprometimento listados no relatório do Wordfence e adicionar os endereços IP ofensivos a uma lista de bloqueio para impedir esses e futuros ataques.
Os usuários do pacote de segurança gratuito do Wordfence serão cobertos pela proteção contra CVE-2023-32243 em 20 de junho de 2023, portanto, também estão expostos.