Hackers explorando bug do plug-in WP-Automatic

Hackers estão ativamente explorando uma falha crítica de segurança no plug-in WP-Automatic para WordPress. Essa vulnerabilidade, rastreada como CVE-2024-27956, carrega uma pontuação CVSS de 9,9 em um máximo de 10. Ela afeta todas as versões do plugin anteriores a 3.9.2.0.

Hackers exploram falha de Injeção de SQL

Essa falha de injeção de SQL (SQLi) representa uma ameaça grave, pois os invasores podem explorá-la para obter acesso não autorizado a sites, criar contas de usuário de nível administrativo, fazer upload de arquivos maliciosos e, potencialmente, assumir o controle total dos sites afetados. A empresa WPScan alertou sobre essa vulnerabilidade esta semana.

De acordo com a empresa de propriedade da Automattic, o problema está enraizado no mecanismo de autenticação do usuário do plugin, que pode ser contornado trivialmente para executar consultas SQL arbitrárias no banco de dados por meio de solicitações especialmente criadas. É importante que os administradores de sites que utilizam o WP-Automatic atualizem para a versão mais recente do plugin para mitigar essa vulnerabilidade.

Nos ataques observados até agora, o CVE-2024-27956 está sendo usado para consultas não autorizadas ao banco de dados e para criar novas contas de administrador em sites WordPress suscetíveis (por exemplo, nomes que começam com “xtw”). Essas contas de administrador podem então ser aproveitadas para ações subsequentes de exploração.

Isso inclui a instalação de plug-ins que possibilitam o upload de arquivos ou a edição de código, indicando tentativas de redirecionar os sites infectados como stagers.

Uma vez que um site WordPress é comprometido, os invasores garantem a longevidade de seu acesso criando backdoors e ofuscando o código. Para evitar a detecção e manter o acesso, os invasores também podem renomear o arquivo WP-Automatic vulnerável, dificultando a identificação ou o bloqueio do problema pelos proprietários de sites ou ferramentas de segurança.

O arquivo em questão é “/wp‑content/plugins/wp‑automatic/inc/csv.php”, que foi renomeado para algo como “wp‑content/plugins/wp‑automatic/inc/csv65f82ab408b3.php”.

Dito isto, é possível que os agentes da ameaça estejam fazendo isso na tentativa de impedir que outros invasores explorem os sites que já estão sob seu controle.

O CVE-2024-27956 foi divulgado publicamente pela empresa de segurança WordPress Patchstack em 13 de março de 2024. Desde então, mais de 5,5 milhões de tentativas de ataque para transformar a falha em arma foram detectadas.

Bugs WordPress

No momento, bugs graves foram divulgados em alguns plug-ins do WordPress, incluindo:

Email Subscribers by Icegram Express (CVE-2024-2876, pontuação CVSS: 9,8): Essa vulnerabilidade pode ser usada para extrair dados confidenciais, como hashes de senha, do banco de dados. Além disso, permite fazer upload de arquivos arbitrários e conceder privilégios de administrador a um usuário autenticado.

Forminator (CVE-2024-28890, pontuação CVSS: 9,8): Essa falha também permite a extração de dados confidenciais e o upload de arquivos arbitrários. Os invasores podem explorá-la para obter acesso não autorizado e realizar ações maliciosas.

Registro de usuário (CVE-2024-2417, pontuação CVSS: 8,8): Essa vulnerabilidade também está relacionada à extração de dados confidenciais e pode permitir que os invasores concedam privilégios de administrador a um usuário autenticado.

Além disso, a empresa Patchstack alertou sobre um problema não corrigido no plugin Poll Maker (CVE-2024-32514, pontuação CVSS: 9,9). Esse problema permite que invasores autenticados, com acesso de nível de assinante e superior, carreguem arquivos arbitrários no servidor do site afetado, o que pode levar à execução remota de código. É importante que os administradores de sites estejam cientes dessas vulnerabilidades e tomem medidas para proteger seus sites atualizando os plugins afetados.

Administradores podem verificar sinais de que hackers tomaram controle do site procurando pela presença de uma conta de admin iniciada com “xtw” e arquivos nomeados web.php e index.php, que são os backdoors plantados na campanha recente.

Para mitigar o risco de serem violados, os pesquisadores recomendam que administradores de sites WordPress atualizem o plugin WP Automatic para a versão 3.92.1 ou posterior.

O WPScan também recomenda que os proprietários de sites criem backups frequentes do site para que possam instalar cópias limpas rapidamente em caso de comprometimento.