Em uma gravíssima, o Plugin WordPress AIOS estava registrando as senhas inseridas nas tentativas de login.
AIOS é uma solução completa desenvolvida pela Updraft, oferecendo firewall de aplicativos da web, proteção de conteúdo e ferramentas de segurança de login para sites WordPress, prometendo parar bots e prevenir ataques de força bruta.
Agora, descobriu-se que o plug-in de segurança All-In-One Security (AIOS) do WordPress, usado por mais de um milhão de sites WordPress, estava registrando senhas de texto sem formatação de tentativas de login do usuário no banco de dados do site, colocando em risco a segurança da conta.
Plugin WordPress AIOS estava registrando as senhas inseridas
Cerca de três semanas atrás, um usuário relatou que o plug-in AIOS v5.1.9 não estava apenas registrando as tentativas de login do usuário na tabela de banco de dados aiowps_audit_log, usada para rastrear logins, logouts e eventos de login com falha, mas também registrando a senha inserida.
O usuário expressou preocupação de que esta atividade viole vários padrões de conformidade de segurança, incluindo NIST 800-63 3, ISO 27000 e GDPR.
No entanto, o agente de suporte da Updraft respondeu dizendo que era um “bug conhecido” e fazendo uma promessa vaga sobre uma correção disponível no próximo lançamento.
Depois de perceber a criticidade do problema, o suporte ofereceu compilações de desenvolvimento do próximo lançamento para usuários preocupados há duas semanas.
Ainda assim, aqueles que tentaram instalar as compilações de desenvolvimento relataram problemas no site e que os logs de senha não foram removidos.
Por fim, em 11 de julho, o fornecedor do AIOS lançou a versão 5.2.0, que inclui uma correção para impedir o salvamento de senhas em texto sem formatação e limpa as entradas antigas.
“A versão 5.2.0 do AIOS e as atualizações mais recentes corrigiram um bug na versão 5.1.9 que resultou na adição de senhas dos usuários ao banco de dados do WordPress em texto simples”, diz o anúncio de lançamento.
“Isso seria um problema se os administradores de sites [maliciosos] tentassem essas senhas em outros serviços onde seus usuários podem ter usado a mesma senha.”
Se os detalhes de login das pessoas expostas não estiverem protegidos por autenticação de dois fatores nessas outras plataformas, administradores desonestos podem facilmente assumir o controle de suas contas.
Além do cenário de administrador mal-intencionado, os sites que usam AIOS enfrentariam um risco elevado de violações de hackers, pois um mal-intencionado que obtivesse acesso ao banco de dados do site poderia exfiltrar senhas de usuário em formato de texto sem formatação.
No momento da redação deste artigo, as estatísticas do WordPress.org mostram que aproximadamente um quarto dos usuários do AIOS aplicaram a atualização para 5.2.0, portanto, mais de 750.000 sites permanecem vulneráveis.
Infelizmente, com o WordPress sendo um alvo comum para os agentes de ameaças, há uma chance de que alguns dos sites que usam o AIOS já tenham sido comprometidos e, considerando que o problema está circulando online há três semanas, os hackers tiveram muitas oportunidades de tirar proveito da resposta lenta do criador do plug-in.
Além disso, é lamentável que em nenhum momento durante o período de exposição o Updraft tenha alertado seus usuários sobre o risco elevado de exposição, aconselhando-os sobre quais ações tomar.
Os sites que usam o AIOS agora devem atualizar para a versão mais recente e solicitar aos usuários que redefinam suas senhas.