Em um movimento inédito e perigoso, o WordPress forçou a atualização do plug-in UpdraftPlus em milhões de sites, e agora há uma falha.
O WordPress deu o raro passo de forçar a atualização do plug-in UpdraftPlus em todos os sites para corrigir uma vulnerabilidade de alta gravidade, permitindo que os assinantes do site baixem os backups de banco de dados mais recentes, que geralmente contêm credenciais e PII.
Três milhões de sites usam o popular plugin WordPress, então o potencial de exploração foi substancial, afetando uma parcela significativa da internet, incluindo grandes plataformas.
A vulnerabilidade afeta as versões 1.16.7 a 1.22.2 do UpdraftPlus, e os desenvolvedores a corrigiram com o lançamento de 1.22.3 ou 2.22.3 para a versão Premium (paga).
A falha foi descoberta pelo pesquisador de segurança Marc Montpas da Automattic e é rastreada como CVE-2022-0633 e carrega uma pontuação CVSS v3.1 de 8,5.
O UpdraftPlus ajuda a simplificar o processo de backups e restauração com funções de backup agendadas e uma opção de download automático para um endereço de e-mail confiável.
No entanto, devido a bugs encontrados no plug-in, qualquer usuário autenticado de baixo nível pode criar um link válido que permita baixar os arquivos.
WordPress forçou a atualização do plug-in UpdraftPlus em milhões de sites
A falha foi descoberta em 14 de fevereiro de 2022 e o UpdraftPlus foi notificado imediatamente, enquanto os detalhes técnicos seguiram no dia seguinte.
A resposta dos desenvolvedores do popular plugin foi quase imediata e, em 16 de fevereiro de 2022, o WordPress começou a forçar a atualização das instalações para a versão 1.22.3.
O problema é a validação imprópria do usuário sobre se eles têm ou não os privilégios necessários para acessar o identificador nonce e os carimbos de data/hora de um backup.
O ataque começa enviando uma solicitação de pulsação contendo um parâmetro “dados” para obter informações sobre o backup mais recente.
De posse dessas informações, o invasor aciona a função “enviar backup por e-mail” após manipular a solicitação do endpoint.
Essa função normalmente é restrita apenas a administradores, mas qualquer pessoa com uma conta no site de destino pode acessá-la sem limites devido à falta da verificação de permissão.
É claro que o invasor precisa saber como fazer o download de backups de banco de dados e, por enquanto, o Updraft relata que não viu casos desse tipo na natureza.
“Neste momento, (o aparecimento de um PoC) depende de um hacker que faça engenharia reversa das alterações na versão mais recente do UpdraftPlus para resolver isso.” – Updraft.
Conforme observado no relatório da Automattic, algumas verificações indiretas ainda estavam presentes nas versões vulneráveis do plug-in, mas elas não são suficientes para impedir um invasor habilidoso.
De acordo com as estatísticas de download do WordPress para este plugin, 783.000 instalações foram atualizadas no dia 16 e 1,7 milhão adicionais foram atualizadas no dia 17.
Montpas disse ao site Bleeping Computer que este é um daqueles casos muito raros e excepcionalmente graves em que o WordPress força atualizações automáticas em todos os sites, independentemente das configurações de seus administradores.
Se você deseja atualizar imediatamente para a versão segura, pode aplicar manualmente a atualização de segurança no painel. A versão mais recente disponível hoje é 1.22.4, portanto, esta é a recomendada para uso.
Observe que essa vulnerabilidade não apresenta riscos para sites que não oferecem suporte a logins de usuários de qualquer tipo ou não mantêm nenhum backup.