Vários temas do WordPress com backdoor para controlar servidores

[Dandilo]

 

Em mais uma instância de ataque à cadeia de suprimentos de software, dezenas de temas e plugins do WordPress hospedados no site de um desenvolvedor foram infectados com código malicioso na primeira quinzena de setembro de 2021 com o objetivo de infectar outros sites.

O backdoor deu aos invasores controle administrativo total sobre sites que usavam 40 temas e 53 plugins pertencentes à AccessPress Themes, uma empresa sediada no Nepal que possui nada menos que 360.000 instalações de sites ativos.

“As extensões infectadas continham um dropper para um web shell que dá aos invasores acesso total aos sites infectados”, disseram pesquisadores de segurança da JetPack, desenvolvedora de plugins WordPress, em um relatório publicado esta semana. "As mesmas extensões funcionaram bem se baixadas ou instaladas diretamente do diretório WordPress[.]org."

A vulnerabilidade recebeu o identificador CVE-2021-24867. A plataforma de segurança de sites Sucuri, em uma análise separada, disse que alguns dos sites infectados encontrados utilizando esse backdoor tinham cargas de spam de quase três anos, o que implica que os atores por trás da operação estavam vendendo acesso aos sites para operadores de outras campanhas de spam.

No início deste mês, a empresa de segurança cibernética eSentire divulgou como os sites comprometidos do WordPress pertencentes a empresas legítimas são usados como um viveiro para entrega de malware, atendendo usuários desavisados que procuram acordos pós-nupciais ou de propriedade intelectual em mecanismos de busca como o Google com um implante chamado GootLoader.



Os proprietários de sites que instalaram os plugins diretamente do site da AccessPress Themes são aconselhados a atualizar imediatamente para uma versão segura ou substituí-la pela versão mais recente do WordPress[.]org. Além disso, é necessário que uma versão limpa do WordPress seja implantada para reverter as modificações feitas durante a instalação do backdoor.

As descobertas também ocorrem quando a empresa de segurança WordPress Wordfence divulgou detalhes de uma vulnerabilidade de cross-site scripting (XSS) agora corrigida, afetando um plug-in chamado "WordPress Email Template Designer - WP HTML Mail", instalado em mais de 20.000 sites.

Rastreado como CVE-2022-0218, o bug foi classificado como 8.3 no sistema de pontuação de vulnerabilidade CVSS e foi corrigido como parte das atualizações lançadas em 13 de janeiro de 2022 (versão 3.1).

“Esta falha possibilitou que um invasor não autenticado injetasse JavaScript malicioso que seria executado sempre que um administrador de site acessasse o editor de modelos”, disse Chloe Chamberland. "Esta vulnerabilidade também permitiria que eles modificassem o modelo de e-mail para conter dados arbitrários que poderiam ser usados para realizar um ataque de phishing contra qualquer pessoa que recebesse e-mails do site comprometido."

De acordo com estatísticas publicadas pela Risk Based Security este mês, 2.240 falhas de segurança foram descobertas e relatadas em plugins WordPress de terceiros no final de 2021, um aumento de 142% em relação a 2020, quando quase 1.000 vulnerabilidades foram divulgadas. Até o momento, um total de 10.359 vulnerabilidades de plugins do WordPress foram descobertos.

Fonte: 

O conteúdo está oculto, favor efetuar login ou se cadastrar!

• Entre
• ou
• Cadastre-se

Vídeo sobre: