Hackers sempre procuram maneiras de explorar vulnerabilidades presentes em sistemas bastante populares. A descoberta mais recente indica que cirbercriminosos conseguiram executar comandos e scripts maliciosos em sites que utilizam o File Manager, um plugin do WordPress para gerenciamento de aquivos que conta com mais de 700 mil instalações.
Relatada pela empresa NinTechNet, a falha foi encontrada nas versões de 6.0 a 6.8 do gerenciador. Estatísticas do WordPress mostram que cerca de 52% das instalações atuais são vulneráveis – o que representa mais de 350 mil sites.
O problema permite que os invasores façam o upload de arquivos com webshells ocultos em imagens. A partir disso, eles têm acesso livre para executar diversos comandos dentro do diretório em que reside o plugin do Gerenciador de Arquivos.
Embora restrições de sistema impeçam que esses comandos sejam executados fora do diretório específico, essa falha faz com que vários danos possam ser causados a um site. Felizmente, o problema já foi corrigido com o lançamento de uma versão atualizada do software. Mesmo assim, ainda há uma preocupação sobre o impacto do ataque.
“É um pouco cedo para saber. Quando detectamos o ataque, os hackers estavam apenas tentando colocar backdoors em sites. No entanto, uma coisa interessante que notamos é que os invasores estavam injetando algum código para proteger com senha o acesso ao arquivo vulnerável para que outros grupos de cibercriminosos não pudessem explorar a vulnerabilidade”, disse Jerome Bruandet, CEO da NinTechNet.
Mais de 350 mil sites podem ser vuneráveis. Foto: Virrage Images/ Shutterstock
Ao comentar o ocorrido, a empresa de segurança Wordfence disse que bloqueou 450 mil tentativas de invasão nos últimos dias. Em uma postagem, a companhia afirma que os invasores estavam se aproveitando da vulnerabilidade para tentar injetar vários arquivos nos endereços invadidos.
Em alguns casos, esses documentos estavam vazios. No entanto, eles eram utilizados para verificar se um site era vulnerável. Provavelmente, se bem-sucedido, esse “teste” serviria para saber para quais endereços enviar arquivos maliciosos posteriormente.
“Um plugin infectado poderia fornecer possibilidades para que um invasor manipule ou faça upload de qualquer arquivo diretamente no painel do WordPress, potencialmente permitindo que eles escalem privilégios uma vez na área de administração do site”, disse Chloe Chamberland, pesquisadora da Wordfence.
Por conta disso, recomenda-se que os sites que utilizem alguma dessas versões do File Manager devem atualizar para o software mais recente o mais rápido possível.
Via: ARSTechnica