O WordPress encontra-se novamente sobre uma nova vaga de ataques, sendo que desta vez foi descoberta uma nova campanha que ataca diretamente os plugins mu-plugins ("Must-Use Plugins"). Esta campanha explora a pasta normalmente associada com estes plugins, e pretende levar a que código malicioso seja executado a partir da mesma.
Os Must-Use Plugins (mu-plugins) são uma espécie de plugins especiais para o WordPress, que podem ser executados diretamente em cada carregamento de páginas do site. Estes tendem a ser usados para tarefas mais abrangentes nos sites, como para a ativação de regras de segurança e outras similares.
Estes plugins são ficheiros PHP armazenados na pasta wp-content/mu-plugins/. Ao contrário dos plugins regulares do WordPress, que surgem na Área de Administração e podem ter um maior controlo por parte dos administradores dos sistemas, estes plugins não surgem diretamente no painel de administração do site – sendo bastante mais complicados de se identificarem.
Embora estes plugins possam ter aplicações legítimas, ao mesmo tempo podem também realizar ações bastante prejudiciais de forma praticamente transparente. Os investigadores da empresa de segurança Sucuri revelaram a descoberta de uma nova campanha, focada para explorar este sistema do WordPress.
A campanha encontra-se atualmente a usar três ficheiros diferentes: redirect.php, index.php e custom-js-loader.php. Cada um pode realizar diferentes ações no site que esteja infetado, desde redirecionar os visitantes do mesmo para sites de malware, ou alterar as imagens do site e links para endereços diferentes.
Existe ainda a possibilidade dos atacantes instalarem um webshell no site, que teoricamente terá graves impactos para a segurança, pois permite executar comandos maliciosos nos sistemas remotos, e realizar ataques diretos aos mesmos, ou aceder a mais informação dos sites e dos seus conteúdos.
Esta campanha tenta explorar outras falhas existentes no WordPress, como falhas em outros plugins e temas, de forrma a infetar os sites. Portanto, uma das medidas de segurança para prevenir ataques será manter o site atualizado, bem como todos os seus plugins, evitando assim a exploração.
Nenhum comentário
Seja o primeiro!