Os hackers estão lançando ataques contra sites através de um plugin WordPress extremamente popular, com milhões de tentativas de explorar uma vulnerabilidade de gravidade elevada que permite assumir o controle total.

A vulnerabilidade está presente no WordPress Automatic, um plugin utilizado por mais de 38 mil clientes pagantes. Sites que operam no sistema de gerenciamento de conteúdo WordPress utilizam esse plugin para integrar conteúdo de outros sites. No mês passado, pesquisadores da empresa de segurança Patchstack divulgaram que as versões 3.92.0 e anteriores do WP Automatic possuíam uma vulnerabilidade avaliada com uma gravidade de 9,9 em uma escala de 10. O desenvolvedor do plugin, ValvePress, lançou um patch que corrige essa falha, disponível nas versões 3.92.1.

A falha, identificada como CVE-2024-27956 pelos pesquisadores, é um caso de Injeção de SQL, uma vulnerabilidade decorrente da incapacidade de um aplicativo web consultar bancos de dados no backend de forma segura. A linguagem SQL utiliza apóstrofos para delimitar o início e o fim de uma sequência de dados. Ao inserir strings com apóstrofos especialmente posicionados em campos vulneráveis dos sites, os hackers podem executar códigos que realizam diversas ações, como acessar dados confidenciais, conceder privilégios de administrador do sistema ou interferir no funcionamento da aplicação web.

Em uma postagem datada de 13 de março, a Patchstack explicou que: "Essa vulnerabilidade é extremamente perigosa e é esperado que seja alvo de exploração em massa".

A empresa de segurança WPScan informou na quinta-feira que registrou mais de 5,5 milhões de tentativas de exploração da vulnerabilidade desde a divulgação feita em 13 de março pela Patchstack. De acordo com a WPScan, essas tentativas começaram lentamente e atingiram o pico em 31 de março. A empresa não divulgou quantas dessas tentativas foram bem-sucedidas.

A WPScan explicou que o CVE-2024-27596 permite que visitantes não autenticados em sites criem contas de usuário de nível administrativo, carreguem arquivos maliciosos e assumam o controle completo dos sites afetados. A vulnerabilidade, que reside na maneira como o plugin lida com a autenticação do usuário, possibilita que invasores ignorem o processo normal de autenticação e injetem código SQL que lhes concede altos privilégios de sistema. A partir daí, eles podem fazer o upload e executar códigos maliciosos que alteram o nome de arquivos confidenciais para evitar que o proprietário do site ou outros hackers controlem o site sequestrado.

Os ataques bem-sucedidos geralmente seguem este processo:

1. Injeção de SQL (SQLi): Os invasores exploram a vulnerabilidade de SQLi no plugin WP-Automatic para executar consultas não autorizadas ao banco de dados.
   

2. Criação de Usuário Administrativo: Com a capacidade de executar consultas SQL arbitrárias, os invasores podem criar novas contas de usuário de nível administrativo no WordPress.
   

3. Upload de Malware: Depois que uma conta de administrador é criada, os invasores podem fazer upload de arquivos maliciosos, normalmente web shells ou backdoors, para o servidor do site comprometido.

File Renaming: o invasor pode renomear o arquivo WP‑Automatic vulnerável, para garantir que somente ele possa explorá-lo.

Os pesquisadores do WPScan explicaram que, após comprometer um site WordPress, os invasores asseguram a continuidade do seu acesso criando backdoors e obscurecendo o código. Para evitar a detecção e manter o acesso, eles também podem renomear o arquivo vulnerável do WP-Automatic, tornando mais difícil para os proprietários do site ou ferramentas de segurança identificar ou bloquear o problema. É importante notar que essa prática também pode ser uma maneira pela qual os invasores evitam que outros hackers explorem com sucesso os sites já comprometidos. Além disso, dado que os invasores podem usar os altos privilégios obtidos para instalar plugins e temas no site, observou-se que na maioria dos sites comprometidos, os hackers instalaram plugins que lhes permitiram fazer upload de arquivos ou editar código. Os ataques começaram pouco depois de 13 de março, cerca de 15 dias após o lançamento da versão 3.92.1 pelo ValvePress, sem mencionar o patch crítico nas notas de lançamento.

Embora os pesquisadores da Patchstack e WPScan classifiquem a CVE-2024-27956 como Injeção de SQL, um desenvolvedor experiente afirmou que sua interpretação da vulnerabilidade é que se trata de uma autorização inadequada (CWE-285) ou uma subcategoria de controle de acesso impróprio (CWE-284).

"De acordo com Patchstack.com, o programa deve receber e executar uma consulta SQL, mas apenas de um usuário autorizado", explicou o desenvolvedor em uma entrevista sob anonimato. "A vulnerabilidade reside na forma como ele verifica as credenciais do usuário antes de executar a consulta, permitindo que um invasor contorne a autorização. O SQL Injection ocorre quando o invasor insere código SQL onde deveria haver apenas dados, e isso não é o caso aqui."

Independentemente da classificação, a vulnerabilidade é extremamente grave. Os usuários devem corrigir o plugin imediatamente. Além disso, eles devem examinar cuidadosamente seus servidores em busca de sinais de exploração usando os indicadores de dados comprometidos fornecidos na postagem do WPScan, cujo link está disponível acima.

Via - Ars Technica